Недавно мы сообщали, что в Windows обнаружена новая уязвимость, позволяющая злоумышленникам получать права администратора. Уязвимость получила название InstallerFileTakeOver и до сих пор остается неисправленной Microsoft.
Уязвимость была обнаружена исследователем Абдельхамид Насери (Abdelhamid Naceri), который опубликовал работоспособный эксплойт в сервисе GitHub в конце ноября.
Компания Acros Security, разработчик 0patch Agent для Windows, выпустила бесплатный патч, исправляющий уязвимость, который доступен всем пользователям. Микропатч доступен для следующих ОС:
- от Windows 10, версия 1709 до Windows 10, версия 21H1.
- Windows 7 ESU
- Windows Server 2012, 2012 R2, 2016, 2019.
- Windows Server 2008 R2 ESU
Acros Security отмечает, что установки Windows 7 и Windows Server 2012, не участвующие в программе ESU, не подвержены данной уязвимости. Скорее всего, Windows Server 2022 и Windows 11 также затронуты, но пока официально не поддерживаются 0Patch. Windows 8.1 не анализировалась из-за низкого интереса к данной версии Windows.
Уязвимость использует файлы отката (RBF, rollback files), которые установщик Windows создает в процессе установки. Они содержат данные о файлах, которые были удалены или изменены в процессе установки, чтобы обеспечить возможность отката. Файл отката создается в системных каталогах, а затем перемещается во временную папку в каталоге пользователя.
Насери обнаружил, что с помощью размещения символической ссылки файл отката можно переместить в другое место. Символическая ссылка указывает на системный файл, который становится доступным для пользователя при условии, что у локальной системы есть права на запись.
Поскольку установщик Windows работает как локальная система, любой файл, доступный для записи локальной системой, может быть перезаписан и сделан доступным для записи локальному пользователю.
Микропатч от 0Patch проверяет, содержит ли целевое расположение файлов отката символические ссылки. Если это так, то операция будет блокироваться, а в противном случае разрешена.
Для микропатча требуется бесплатная учетная запись в 0Patch Central, а также установка и регистрация 0Patch Agent. Патч применяется автоматически, перезагрузка не требуется.
Скачать 0patch Agent для Windows
Компания Acros Security также опубликовала демонстрационный ролик на YouTube.
Acros Security сообщает:
Без микропатча эксплойт работает, и окно командной строки запускается как локальная система. С помощью микропатча модифицированный код в msi.dll, определяет, что путь назначения содержит символическую ссылку, прерывает операцию перемещения файла и запускает событие «Эксплойт заблокирован».
Дополнительная информация доступна в блоге 0Patch.
Последние статьи #Windows
• Обновление KB5055612 (Build 19045.5796) Preview для Windows 10, версия 22H2
• Microsoft тестирует новую вкладку Edge с Copilot вместо Bing
• Новая функция Microsoft Copilot: создавайте слайды PowerPoint по запросу и документам в Windows
• Обновление KB5055642 (Build 26200.5562) для Windows 11, версия 24H2 (Dev)
• Обновление KB5055640 (Build 26120.3872) для Windows 11, версия 24H2 (Beta)
• Обновление Windows 11 на неподдерживаемом оборудовании с помощью Flyby11