0patch Agent для Windows включает исправление критической уязвимости InstallerFileTakeOver

2021-12-03 3658 комментарии
Компания Acros Security, разработчик 0patch Agent для Windows, выпустила бесплатный патч, исправляющий уязвимость InstallerFileTakeOver, который доступен всем пользователям Windows 10, Windows 7 и Windows Server

Недавно мы сообщали, что в Windows обнаружена новая уязвимость, позволяющая злоумышленникам получать права администратора. Уязвимость получила название InstallerFileTakeOver и до сих пор остается неисправленной Microsoft.

Уязвимость была обнаружена исследователем Абдельхамид Насери (Abdelhamid Naceri), который опубликовал работоспособный эксплойт в сервисе GitHub в конце ноября.

Компания Acros Security, разработчик 0patch Agent для Windows, выпустила бесплатный патч, исправляющий уязвимость, который доступен всем пользователям. Микропатч доступен для следующих ОС:

  • от Windows 10, версия 1709 до Windows 10, версия 21H1.
  • Windows 7 ESU
  • Windows Server 2012, 2012 R2, 2016, 2019.
  • Windows Server 2008 R2 ESU

Acros Security отмечает, что установки Windows 7 и Windows Server 2012, не участвующие в программе ESU, не подвержены данной уязвимости. Скорее всего, Windows Server 2022 и Windows 11 также затронуты, но пока официально не поддерживаются 0Patch. Windows 8.1 не анализировалась из-за низкого интереса к данной версии Windows.

0patch Agent для Windows

Уязвимость использует файлы отката (RBF, rollback files), которые установщик Windows создает в процессе установки. Они содержат данные о файлах, которые были удалены или изменены в процессе установки, чтобы обеспечить возможность отката. Файл отката создается в системных каталогах, а затем перемещается во временную папку в каталоге пользователя.

Насери обнаружил, что с помощью размещения символической ссылки файл отката можно переместить в другое место. Символическая ссылка указывает на системный файл, который становится доступным для пользователя при условии, что у локальной системы есть права на запись.

Поскольку установщик Windows работает как локальная система, любой файл, доступный для записи локальной системой, может быть перезаписан и сделан доступным для записи локальному пользователю.

Микропатч от 0Patch проверяет, содержит ли целевое расположение файлов отката символические ссылки. Если это так, то операция будет блокироваться, а в противном случае разрешена.

Для микропатча требуется бесплатная учетная запись в 0Patch Central, а также установка и регистрация 0Patch Agent. Патч применяется автоматически, перезагрузка не требуется.

Скачать 0patch Agent для Windows

Компания Acros Security также опубликовала демонстрационный ролик на YouTube.

Acros Security сообщает:

Без микропатча эксплойт работает, и окно командной строки запускается как локальная система. С помощью микропатча модифицированный код в msi.dll, определяет, что путь назначения содержит символическую ссылку, прерывает операцию перемещения файла и запускает событие «Эксплойт заблокирован».

Дополнительная информация доступна в блоге 0Patch.

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?