تؤثر هذه المشكلة على نظام التشغيل Windows 7 إلى 10. وكانت أحدث جهود Microsoft لمعالجة المشكلة (CVE-2020-16902) في أكتوبر. ظهر تجاوز، مكتمل برمز استغلال إثبات المفهوم (PoC) في أواخر ديسمبر 2020.
أثناء تثبيت حزمة MSI، يقوم Windows Installer بإنشاء برنامج نصي للعودة إلى الحالة السابقة عبر "msiexec.exe" للعودة إلى أي تغييرات إذا حدث خطأ ما في العملية. يمكن للمخترق الذي لديه امتيازات محلية تشغيل ملف تنفيذي بأذونات SYSTEM إذا كان بإمكانه استبدال البرنامج النصي للعودة بآخر يغير قيمة التسجيل للإشارة إلى حمولته.
ظهرت الثغرة الأمنية على رادار Microsoft وتم إصلاحها في أبريل 2019 (CVE-2019-0841). وجد الباحث في الثغرات Sandbox Escaper تجاوزًا بحلول نهاية مايو ونشر بعض التفاصيل الفنية. تكررت القصة أربع مرات أخرى (CVE-2019-1415, CVE-2020-1302, CVE-2020-0814, CVE-2020-16902)، ولا يزال Windows Installer قابلاً للاستغلال لتصعيد الامتيازات إلى أعلى الأذونات على جهاز مخترق.
تم الكشف عن أحدث تجاوز للباحث الأمني Abdelhamid Naceri على مدونته إلى جانب نقاط الضعف الأخرى التي تؤثر على حلول برامج الأمان المتعددة.
يشرح Mitja Kolsek، الرئيس التنفيذي لشركة ACROS Security والمؤسس المشارك لخدمة micropatching 0patch، كيفية عمل Naceri's PoC للثغرة الأمنية (لا يوجد رقم تتبع):
"The proof-of-concept is using a rollback script that changes the value of HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fax\ImagePath to c:\Windows\temp\asmae.exe, which results in the Fax Service using attacker's asmae.exe when the service is launched. This service was used because any user is allowed to launch it, and it's running as Local System" - Mitja Kolsek
حتى تأتي Microsoft مع تصحيح دائم، يتوفر تصحيح مؤقت من خلال النظام الأساسي 0Patch. إنه إصلاح تعليمي واحد لا يتطلب إعادة تشغيل النظام.
يوضح الفيديو أدناه أن micropatch يمنع المستخدم المحلي غير المسؤول من تعديل قيمة التسجيل التي تشير إلى خدمة الفاكس القابلة للتنفيذ، مما قد يؤدي إلى تشغيل رمز المهاجم.
يعمل الإصلاح المؤقت المجاني من 0Patch للأنظمة التالية:
Windows 10 v20H2, 32/64bit, updated with January 2021 updates
Windows 10 v2004, 32/64bit, updated with January 2021 updates
Windows 10 v1909, 32/64bit, updated with January 2021 updates
Windows 7, 32/64bit, with ESU, updated with January 2021 updates
Windows 7, 32/64bit, without ESU, updated with January 2020 updates