Windows Installer在野提权0day漏洞风险通告,腾讯电脑管家、腾讯iOA支持检测拦截

2021-02-01 20:45:31
国外安全研究员公开了一个Windows Installer(MSI 管理器)的0day提权漏洞,该漏洞允许攻击者在最新的Windows系统中完成特权提升(运行攻击者构造的恶意程序,可能在非管理员权限登录后获取系统最高权限)。由于目前还没有补丁,该漏洞尚处于0day阶段,但漏洞利用代码(EXP)已被公开,意味着该漏洞影响严重,且黑客的恶意利用可能很快到来。

一、背景

20201226日,国外安全研究员公开了一个Windows Installer(MSI 管理器)0day提权漏洞,该漏洞允许攻击者在最新的Windows系统中完成特权提升(运行攻击者构造的恶意程序,可能在非管理员权限登录后获取系统最高权限)。由于目前还没有补丁,该漏洞尚处于0day阶段,但漏洞利用代码(EXP)已被公开,意味着漏洞风险严重,且黑客的恶意利用可能很快到来。

腾讯安全专家建议用户不要随意点击可疑程序(攻击者可能通过邮件、社交媒体工具等途径发送诱饵文件),安装腾讯电脑管家或零信任无边界访问控制系统(iOA)可检测已出现的在野攻击样本。



Windows Installer(MSI 管理器)中存在一处逻辑漏洞,可导致本地特权提升。攻击者可通过MSI管理器的文件备份相关逻辑漏洞,欺骗Windows Installer使用攻击者提供的rbs回滚脚本,该脚本通过修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fax\ImagePath 键值来劫持Fax服务,导致该服务启动时会已高特权运行攻击者提供的程序。


受影响的Windows版本:

Windows10 1607-20H2Windows 8.1、Windows Server系统。

预订微软会在本月的安全更新中修复该漏洞。

二、腾讯安全解决方案

腾讯安全已应急响应,支持查杀拦截利用该漏洞攻击的恶意样本,腾讯安全专家建议用户使用腾讯电脑管家或腾讯T-Sec零信任无边界访问控制系统(iOA)保护系统,另建议网友避免点击未知来源的文件,恶意攻击者可能通过伪造的电子邮件附件、社交媒体消息传送诱饵文件,欺骗受害者运行。


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


最新资讯