Для Windows 7 и Windows Server 2008 вышел патч против уязвимости нулевого дня

2020-11-26 4424 комментарии
Уязвимость локального повышения привилегий затрагивает все устройства Windows 7 и Windows Server 2008 R2. Исправление, закрывающее данную уязвимость, с 25 ноября распространяется через платформу 0patch

Уязвимость нулевого дня затрагивает все устройства Windows 7 и Windows Server 2008, зарегистрированные в программе расширенных обновлений безопасности Microsoft (ESU). Компания Microsoft пока не выпустила официальное исправление для клиентов ESU.

Бесплатный микропатч от 0patch предназначен для любых компьютеров Windows 7 и Server 2008 R2, как для подключенных к ESU (последние обновления от ноября 2020 года), так и без ESU (последние обновления от января 2020 года).

Скачать 0patch Agent для Windows

0patch Agent для Windows

В настоящее время только организации малого и среднего бизнеса с действующими соглашениями о корпоративном лицензировании могут получить лицензию ESU до января 2023 года.

От некорректной настройки реестра к уязвимости нулевого дня

Уязвимость локального повышения привилегий (LPE) возникает из-за неправильной настройки двух разделов реестра служб и позволяет локальным злоумышленникам повысить свои привилегии в любой полностью обновленной системе Windows 7 и Server 2008 R2.

Проблема была обнаружена исследователем безопасности Клементом Лабро (Clement Labro). В начале этого месяца он опубликовал исследование, в котором подробно описывается, как небезопасные разрешения в разделах реестра:

HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

и

HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper

позволяют злоумышленникам обойти службу RPC Endpoint Mapper с целью загрузки вредоносных DLL.

В результате они получают возможность выполнения произвольного кода в контексте службы инструментария управления Windows (WMI), которая работает с разрешениями LOCAL SYSTEM.

Митя Колсек (Mitja Kolsek) из 0patch пояснил механизм эксплуатации:

Локальный пользователь без прав администратора может создать на целевом компьютере подраздел производительности в одном из указанных выше разделов, заполнить его некоторыми значениями и запустить мониторинг производительности, что в свою очередь приведет к загрузке вредоносного DLL процессом WmiPrvSE.exe в локальной системе и выполнению произвольного кода из него.

Лабро сообщил:

На данный момент, если вы все еще используете Windows 7 или Windows Server 2008 R2, надежно не изолировав эти машины в сети, то предотвращение получения злоумышленником привилегий SYSTEM, вероятно, будет наименьшей из ваших беспокойств.

Бесплатный микропатч для всех затронутых устройств

Микропатчи 0patch представляют собой фрагменты кода, отправляемые в режиме реального времени через платформу 0patch клиентам Windows для исправления проблем безопасности и применяемые к запущенным процессам без перезагрузки системы.

Данный конкретный микропатч доступен бесплатно для всех пользователей, пока Microsoft не выпустит официальное исправление для решения проблем с неправильными разрешениями реестра.

В компании 0patch пояснили, что микропатч «саботирует операции мониторинга производительности двух затронутых служб: Dnsclient и RpcEptMapper».

Колсек добавил:

Если для этих служб потребуется мониторинг производительности, то микропатч можно будет временно отключить. Для этого не требуется перезапуск службы, а тем более компьютера.

На демонстрационном видео показано, микропатч блокирует эксплуатацию уязвимости нулевого дня Windows LPE:

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?