Уразливість в компоненті інсталятора Windows, яку корпорація Microsoft безуспішно намагалася виправити кілька разів, отримала мікропатч, що позбавляє хакерів можливості отримати підвищені привілеї на скомпрометованої системі.

Проблема зачіпає версії ОС Windows з 7 по 10. Остання спроба Microsoft вирішити цю проблему ( CVE-2020-16902 ) була зроблена в жовтні минулого року, а в кінці грудня був опублікований PoC-код для її експлуатації.

Під час установки пакета MSI інсталятор Windows створює скрипт відкату через msiexec.exe, щоб скасувати будь-які зміни в разі збою в процесі. Зловмисник із локальними привілеями може запустити виконуваний файл з дозволами SYSTEM.

Уразливість була виявлена Microsoft, і компанія виправила її в квітні 2019 роки ( CVE-2019-0841 ). Дослідник безпеки, який використовує псевдонім Sandbox Escaper, виявив обхідний шлях в кінці травня і опублікував деякі технічні подробиці. Компанія зробила ще чотири спроби виправити проблему (CVE-2019-1415, CVE-2020-1302 , CVE-2020-0814 , CVE-2020-16902 ), однак інсталятор Windows як і раніше можна використовувати для підвищення привілеїв.

Генеральний директор ACROS Security і співзасновник сервісу мікропатчінга 0patch Mitja Kolsek пояснив, як працює PoC-код для експлуатації уразливості, опублікований Насері.

“PoC-код для експлуатації уразливості використовує скрипт відкату, який змінює значення HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fax\ImagePath на c:\Windows\temp\asmae.exe, в результаті чого служба факсів використовує asmae.exe зловмисника під час запуску” , – пояснив Колсек.

Користувачі можуть встановити тимчасовий патч через платформу 0Patch, поки Microsoft не випустить офіційне виправлення.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як виправити повільний Wi-Fi? ПОРАДИ

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Як не стати жертвою кібератаки? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

П’ять небезпечних типів файлів, що можуть містити шкідливе ПЗ

Що таке Google Assistant та що він може робити?

Нагадаємо, Apple займається розробкою, яка буде розрізняти користувачів смартфонів за новою технологією. Йдеться про так звану теплову карту особи, яка, як і відбитки пальців, є унікальною. Обдурити цю систему захисту буде практично неможливо.

Також корпорація Microsoft випускає вбудований генератор паролів та функцію моніторингу витоків облікових даних у системах Windows та macOS, що працюють з останньою версією Microsoft Edge.

Окрім цього, багатофункціональний “шкідник” VPNFilter, якому вдалося інфікувати 500 тисяч роутерів у 54 країнах, хоч і був дезактивований два роки тому, однак досі не вичищений із сотень мереж. Такі невтішні результати чергової перевірки, яку провели дослідники з Trend Micro.

До речі, викрадена база даних, яка містить імена, адреси електронної пошти та паролі користувачів Nitro PDF, безкоштовно розповсюджується в Мережі. Загалом база даних налічує понад 77 мільйонів записів.