Microsoft частично исправила уязвимость повышения привилегий в Windows 7 и Windows Server 2008

2021-04-21 1874 комментарии
Компания Microsoft выпустила частичное исправление уязвимости локального повышения привилегий (LPE), которое затрагивает все устройства Windows 7 и Server 2008 R2

Данная уязвимость (CVE официально не присвоен) возникает из-за неправильной настройки двух ключей реестра служб и позволяет локальным злоумышленникам повышать уровень привилегий в любых полностью обновленных системах.

Еще в ноябре 2020 года исследователь безопасности Клеман Лабро (Clement Labro) обнаружил, что небезопасные разрешения для ключей реестра служб RpcEptMapper и DnsCache позволяют злоумышленникам обмануть службу RPC Endpoint Mapper с целью загрузки вредоносных библиотек DLL в системы Windows 7 и Windows Server 2008R2.

За счет эксплуатации данной проблемы безопасности злоумышленники получают возможность выполнить произвольный код в контексте службы инструментария управления Windows (WMI), которая работает с разрешениями LOCAL SYSTEM.

Соучредитель 0patch Митя Колсек (Mitja Kolsek) пояснил, как осуществляется атака:

Если говорить кратко, то локальный пользователь без прав администратора просто создает подраздел в одном из указанных выше ключей, заполняет его некоторыми значениями и запускает мониторинг производительности. Это приводит к загрузке DLL злоумышленника процессом WmiPrvSE.exe в локальной системе и выполнению произвольного кода.

В апреле 2021 года Microsoft без особой огласки исправила проблему с ключом RpcEptMapper. Компания просто скорректировала разрешения и заблокировала возможность создавать подраздел для групп «Пользователи» и «Прошедшие проверку». Исправление было включено в расширенные обновления безопасности (ESU), которые распространяются на платной основе. Однако, уязвимость DnsCache не была исправлена.

Эксплойт с открытым исходным кодом для уязвимости ключа реестра RpcEptMapper в Windows 7 и Server 2008 R2 доступен в сети с февраля.

Тем временем, устройства Windows 7 и Server 2008 R2, даже зарегистрированные в программе расширенных обновлений безопасности, пока остаются уязвимыми.

Компания 0patch выпустила временное исправление в виде бесплатного микропатча, который полностью устраняет проблему, блокируя «операции мониторинга производительности для двух затронутых служб, Dnsclient и RpcEptMapper».

Микропатч будет доступен бесплатно до момента выхода официального исправления от Microsoft.

Скачать 0patch Agent

Лабро призывает не откладывать процессы миграции на более современные ОС:

Если вы все еще используете Windows 7 или Server 2008 R2, не изолировав сначала эти машины в сети, то предотвращение получения злоумышленником привилегий SYSTEM, вероятно, будет наименьшей из ваших проблем.

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?