Недавно мы сообщали, что в Windows обнаружена новая уязвимость, позволяющая злоумышленникам получать права администратора. Уязвимость получила название InstallerFileTakeOver и до сих пор остается неисправленной Microsoft.
Уязвимость была обнаружена исследователем Абдельхамид Насери (Abdelhamid Naceri), который опубликовал работоспособный эксплойт в сервисе GitHub в конце ноября.
Компания Acros Security, разработчик 0patch Agent для Windows, выпустила бесплатный патч, исправляющий уязвимость, который доступен всем пользователям. Микропатч доступен для следующих ОС:
- от Windows 10, версия 1709 до Windows 10, версия 21H1.
- Windows 7 ESU
- Windows Server 2012, 2012 R2, 2016, 2019.
- Windows Server 2008 R2 ESU
Acros Security отмечает, что установки Windows 7 и Windows Server 2012, не участвующие в программе ESU, не подвержены данной уязвимости. Скорее всего, Windows Server 2022 и Windows 11 также затронуты, но пока официально не поддерживаются 0Patch. Windows 8.1 не анализировалась из-за низкого интереса к данной версии Windows.
Уязвимость использует файлы отката (RBF, rollback files), которые установщик Windows создает в процессе установки. Они содержат данные о файлах, которые были удалены или изменены в процессе установки, чтобы обеспечить возможность отката. Файл отката создается в системных каталогах, а затем перемещается во временную папку в каталоге пользователя.
Насери обнаружил, что с помощью размещения символической ссылки файл отката можно переместить в другое место. Символическая ссылка указывает на системный файл, который становится доступным для пользователя при условии, что у локальной системы есть права на запись.
Поскольку установщик Windows работает как локальная система, любой файл, доступный для записи локальной системой, может быть перезаписан и сделан доступным для записи локальному пользователю.
Микропатч от 0Patch проверяет, содержит ли целевое расположение файлов отката символические ссылки. Если это так, то операция будет блокироваться, а в противном случае разрешена.
Для микропатча требуется бесплатная учетная запись в 0Patch Central, а также установка и регистрация 0Patch Agent. Патч применяется автоматически, перезагрузка не требуется.
Скачать 0patch Agent для Windows
Компания Acros Security также опубликовала демонстрационный ролик на YouTube.
Acros Security сообщает:
Без микропатча эксплойт работает, и окно командной строки запускается как локальная система. С помощью микропатча модифицированный код в msi.dll, определяет, что путь назначения содержит символическую ссылку, прерывает операцию перемещения файла и запускает событие «Эксплойт заблокирован».
Дополнительная информация доступна в блоге 0Patch.
Последние статьи #Windows
• Диспетчер задач Windows 11 получает новые функции: улучшенный мониторинг NPU и поддержка AppContainer
• Samsung Magician 9.0 не запускается в Windows 11? Пользователи сообщают о сбоях в приложении для SSD
• Microsoft выпустила экстренный патч KB5086672 для Windows 11 с исправлением ошибки установки предварительного обновления
• Приложение Xbox для Windows получило виджет «Дисплей» и гибкие настройки уведомлений для ROG Xbox Ally X
• Обновление KB5086672 (Build 26100.8117) для Windows 11, версия 24H2
• Обновление KB5086672 (Build 26200.8117) для Windows 11, версия 25H2. Исправлена ошибка 0x80073712 при установке обновления KB5079391