Недавно мы сообщали, что в Windows обнаружена новая уязвимость, позволяющая злоумышленникам получать права администратора. Уязвимость получила название InstallerFileTakeOver и до сих пор остается неисправленной Microsoft.
Уязвимость была обнаружена исследователем Абдельхамид Насери (Abdelhamid Naceri), который опубликовал работоспособный эксплойт в сервисе GitHub в конце ноября.
Компания Acros Security, разработчик 0patch Agent для Windows, выпустила бесплатный патч, исправляющий уязвимость, который доступен всем пользователям. Микропатч доступен для следующих ОС:
- от Windows 10, версия 1709 до Windows 10, версия 21H1.
- Windows 7 ESU
- Windows Server 2012, 2012 R2, 2016, 2019.
- Windows Server 2008 R2 ESU
Acros Security отмечает, что установки Windows 7 и Windows Server 2012, не участвующие в программе ESU, не подвержены данной уязвимости. Скорее всего, Windows Server 2022 и Windows 11 также затронуты, но пока официально не поддерживаются 0Patch. Windows 8.1 не анализировалась из-за низкого интереса к данной версии Windows.
Уязвимость использует файлы отката (RBF, rollback files), которые установщик Windows создает в процессе установки. Они содержат данные о файлах, которые были удалены или изменены в процессе установки, чтобы обеспечить возможность отката. Файл отката создается в системных каталогах, а затем перемещается во временную папку в каталоге пользователя.
Насери обнаружил, что с помощью размещения символической ссылки файл отката можно переместить в другое место. Символическая ссылка указывает на системный файл, который становится доступным для пользователя при условии, что у локальной системы есть права на запись.
Поскольку установщик Windows работает как локальная система, любой файл, доступный для записи локальной системой, может быть перезаписан и сделан доступным для записи локальному пользователю.
Микропатч от 0Patch проверяет, содержит ли целевое расположение файлов отката символические ссылки. Если это так, то операция будет блокироваться, а в противном случае разрешена.
Для микропатча требуется бесплатная учетная запись в 0Patch Central, а также установка и регистрация 0Patch Agent. Патч применяется автоматически, перезагрузка не требуется.
Скачать 0patch Agent для Windows
Компания Acros Security также опубликовала демонстрационный ролик на YouTube.
Acros Security сообщает:
Без микропатча эксплойт работает, и окно командной строки запускается как локальная система. С помощью микропатча модифицированный код в msi.dll, определяет, что путь назначения содержит символическую ссылку, прерывает операцию перемещения файла и запускает событие «Эксплойт заблокирован».
Дополнительная информация доступна в блоге 0Patch.
Последние статьи #Windows
• Microsoft блокирует обновление до Windows 11, версия 24H2 на дисках Western Digital из-за устаревшей прошивки
• Обновление KB5060829 (Build 26100.4482) Preview для Windows 11, версия 24H2
• Windows 11 Build 27881 (Canary): Что нового, готовые ISO-образы
• Обновление KB5061087 (Build 19045.6033) Preview для Windows 10, версия 22H2
• Обновление KB5060826 (Build 22631.5548) Preview для Windows 11, версия 23H2
• AdGuard добавит защиту от Microsoft Recall в Windows 11