[Информационная безопасность, Системное администрирование] Обнаружена 0day уязвимость повышения привилегий в Windows 7-10
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Уязвимость в Windows Installer присутствует во всех актуальных системах, начиная с Windows 7, и не была исправлена последними январскими обновлениями.По информации 0patch проблема первоначально обнаружена SandboxEscaper и заключается в том, что злоумышленник использует собственный сценарий отката (файл *.rbs) вместо сценария, созданного msiexec.exe, для модификации реестра и системных файлов, что в свою очередь приводит к локальному повышению привилегий ограниченного пользователя до уровня системы.Эту уязвимость уже пытались исправить 4 раза (CVE-2020-16902, CVE-2020-0814, CVE-2020-1302, CVE-2019-1415), но так полностью и не исправили - в проверке использования папки C:\Config.Msi для хранения файла отката была обнаружена ошибка, из-за которой CVE-2020-16902 продолжает работать. На текущий вариант ещё нет CVE и официального исправления, однако можно принять меры самостоятельно.Хорошая новость в том, что в серверных системах по умолчанию установка msi-пакетов разрешена только администраторам, однако этот параметр можно переопределить групповой политикой или твиком реестра (кто так сделал также уязвим). Клиентские системы же уязвимы по умолчанию, так как в них msi-пакеты разрешено устанавливать всем пользователям, в том числе с ограниченными правами.Команда 0patch предлагает для исправления собственный микропатч, для использования которого необходимо использовать их утилиту. Плюс - изменения делаются в памяти и их можно применять без перезагрузки, минус - нужно регистрироваться и держать 0patch активным.Мой анализ ситуации показал, что для устранения уязвимости достаточно запретить пользователям с ограниченными правами установку msi-пакетов. Через групповую политику это делается так:
Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Установщик Windows -> Запретить установщик Windows -> Включить (Только для необслуживаемых программ).
Равноценный твик реестра:
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "DisableMSI"=dword:00000001
===========
Источник:
habr.com
===========
Похожие новости:
- [Настройка Linux, Системное администрирование, Серверное администрирование, Резервное копирование] Настраиваем Restic с systemd на Linux
- [Информационная безопасность, CTF] HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста
- [Информационная безопасность, Google API] Как я воровал данные с пользовательских аккаунтов в Google (перевод)
- [Информационная безопасность, Администрирование доменных имен] Неизвестные украли домен Perl.com
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- [PostgreSQL, C++, Visual Studio, Разработка под Windows] Использование libpq в VisualStudio (Windows)
- [Информационная безопасность, Разработка веб-сайтов, Анализ и проектирование систем, .NET] RBAC? ABAC?.. PERM! Новый подход к авторизации в облачных веб-службах и приложениях
- [Системное администрирование, IT-инфраструктура, DevOps] Изучаем ELK. Часть II — Установка Kibana и Logstash
- [Настройка Linux, Системное администрирование] Настраиваем домашний почтовый сервер и уходим с «бесплатной» почты
- [.NET, Разработка мобильных приложений, Сетевые технологии, C#, История IT] Менеджер приложений для Windows Mobile
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_sistemnoe_administrirovanie (Системное администрирование), #_0day, #_ujazvimost (уязвимость), #_povyshenie_privilegij (повышение привилегий), #_windows, #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_sistemnoe_administrirovanie (
Системное администрирование
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 18:57
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Уязвимость в Windows Installer присутствует во всех актуальных системах, начиная с Windows 7, и не была исправлена последними январскими обновлениями.По информации 0patch проблема первоначально обнаружена SandboxEscaper и заключается в том, что злоумышленник использует собственный сценарий отката (файл *.rbs) вместо сценария, созданного msiexec.exe, для модификации реестра и системных файлов, что в свою очередь приводит к локальному повышению привилегий ограниченного пользователя до уровня системы.Эту уязвимость уже пытались исправить 4 раза (CVE-2020-16902, CVE-2020-0814, CVE-2020-1302, CVE-2019-1415), но так полностью и не исправили - в проверке использования папки C:\Config.Msi для хранения файла отката была обнаружена ошибка, из-за которой CVE-2020-16902 продолжает работать. На текущий вариант ещё нет CVE и официального исправления, однако можно принять меры самостоятельно.Хорошая новость в том, что в серверных системах по умолчанию установка msi-пакетов разрешена только администраторам, однако этот параметр можно переопределить групповой политикой или твиком реестра (кто так сделал также уязвим). Клиентские системы же уязвимы по умолчанию, так как в них msi-пакеты разрешено устанавливать всем пользователям, в том числе с ограниченными правами.Команда 0patch предлагает для исправления собственный микропатч, для использования которого необходимо использовать их утилиту. Плюс - изменения делаются в памяти и их можно применять без перезагрузки, минус - нужно регистрироваться и держать 0patch активным.Мой анализ ситуации показал, что для устранения уязвимости достаточно запретить пользователям с ограниченными правами установку msi-пакетов. Через групповую политику это делается так: Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Установщик Windows -> Запретить установщик Windows -> Включить (Только для необслуживаемых программ).
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "DisableMSI"=dword:00000001
=========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_sistemnoe_administrirovanie ( Системное администрирование ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 18:57
Часовой пояс: UTC + 5