Данная уязвимость (CVE официально не присвоен) возникает из-за неправильной настройки двух ключей реестра служб и позволяет локальным злоумышленникам повышать уровень привилегий в любых полностью обновленных системах.
Еще в ноябре 2020 года исследователь безопасности Клеман Лабро (Clement Labro) обнаружил, что небезопасные разрешения для ключей реестра служб RpcEptMapper и DnsCache позволяют злоумышленникам обмануть службу RPC Endpoint Mapper с целью загрузки вредоносных библиотек DLL в системы Windows 7 и Windows Server 2008R2.
За счет эксплуатации данной проблемы безопасности злоумышленники получают возможность выполнить произвольный код в контексте службы инструментария управления Windows (WMI), которая работает с разрешениями LOCAL SYSTEM.
Соучредитель 0patch Митя Колсек (Mitja Kolsek) пояснил, как осуществляется атака:
Если говорить кратко, то локальный пользователь без прав администратора просто создает подраздел в одном из указанных выше ключей, заполняет его некоторыми значениями и запускает мониторинг производительности. Это приводит к загрузке DLL злоумышленника процессом WmiPrvSE.exe в локальной системе и выполнению произвольного кода.
В апреле 2021 года Microsoft без особой огласки исправила проблему с ключом RpcEptMapper. Компания просто скорректировала разрешения и заблокировала возможность создавать подраздел для групп «Пользователи» и «Прошедшие проверку». Исправление было включено в расширенные обновления безопасности (ESU), которые распространяются на платной основе. Однако, уязвимость DnsCache не была исправлена.
Эксплойт с открытым исходным кодом для уязвимости ключа реестра RpcEptMapper в Windows 7 и Server 2008 R2 доступен в сети с февраля.
Тем временем, устройства Windows 7 и Server 2008 R2, даже зарегистрированные в программе расширенных обновлений безопасности, пока остаются уязвимыми.
Компания 0patch выпустила временное исправление в виде бесплатного микропатча, который полностью устраняет проблему, блокируя «операции мониторинга производительности для двух затронутых служб, Dnsclient и RpcEptMapper».
Микропатч будет доступен бесплатно до момента выхода официального исправления от Microsoft.
Лабро призывает не откладывать процессы миграции на более современные ОС:
Если вы все еще используете Windows 7 или Server 2008 R2, не изолировав сначала эти машины в сети, то предотвращение получения злоумышленником привилегий SYSTEM, вероятно, будет наименьшей из ваших проблем.
Последние статьи #Windows
• Microsoft расширяет возможности Copilot+ ПК на ноутбуки с процессорами Intel и AMD
• Как установить Windows 11 без Интернета и учетной записи Microsoft: официальный способ
• Релиз Microsoft PowerToys 0.90: новый лаунчер «Палитра команд, улучшенный Цветоподборщик и другие изменения
• Обновление KB5053654 (Build 22635.5160) для Windows 11, версия 23H2 (Beta)
• Microsoft уберёт смайлик и QR-код с «экрана смерти» в Windows 11
• Microsoft тестирует новый инструмент для удаленного устранения сбоев загрузки Windows 11