• الأخبار

    Home أخبار أمن المعلومات ثغرة يوم الصفر في Windows Installer تحصل على micropatch مجانية

    ثغرة يوم الصفر في Windows Installer تحصل على micropatch مجانية

    Windows Installer zero-day vulnerability gets free micropatch
     
    ثغرة في مكون Windows Installer، والتي حاولت Microsoft إصلاحها عدة مرات دون جدوى، تلقت اليوم micropatch لحرمان المتسللين من خيار الحصول على أعلى الامتيازات على نظام مخترق.

    تؤثر هذه المشكلة على نظام التشغيل Windows 7 إلى 10. وكانت أحدث جهود Microsoft لمعالجة المشكلة (CVE-2020-16902) في أكتوبر. ظهر تجاوز، مكتمل برمز استغلال إثبات المفهوم (PoC) في أواخر ديسمبر 2020.
     
    التصحيح، الالتفافية، كرر Patch, bypass, repeat
    أثناء تثبيت حزمة MSI، يقوم Windows Installer بإنشاء برنامج نصي للعودة إلى الحالة السابقة عبر "msiexec.exe" للعودة إلى أي تغييرات إذا حدث خطأ ما في العملية. يمكن للمخترق الذي لديه امتيازات محلية تشغيل ملف تنفيذي بأذونات SYSTEM إذا كان بإمكانه استبدال البرنامج النصي للعودة بآخر يغير قيمة التسجيل للإشارة إلى حمولته.

    ظهرت الثغرة الأمنية على رادار Microsoft وتم إصلاحها في أبريل 2019 (CVE-2019-0841). وجد الباحث في الثغرات Sandbox Escaper تجاوزًا بحلول نهاية مايو ونشر بعض التفاصيل الفنية. تكررت القصة أربع مرات أخرى (CVE-2019-1415, CVE-2020-1302, CVE-2020-0814, CVE-2020-16902)، ولا يزال Windows Installer قابلاً للاستغلال لتصعيد الامتيازات إلى أعلى الأذونات على جهاز مخترق.

    تم الكشف عن أحدث تجاوز للباحث الأمني ​​Abdelhamid Naceri على مدونته إلى جانب نقاط الضعف الأخرى التي تؤثر على حلول برامج الأمان المتعددة.
     
    الإصلاح المؤقت متاح Temporary fix available
    يشرح Mitja Kolsek، الرئيس التنفيذي لشركة ACROS Security والمؤسس المشارك لخدمة micropatching 0patch، كيفية عمل Naceri's PoC للثغرة الأمنية (لا يوجد رقم تتبع):

    "The proof-of-concept is using a rollback script that changes the value of HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fax\ImagePath to c:\Windows\temp\asmae.exe, which results in the Fax Service using attacker's asmae.exe when the service is launched. This service was used because any user is allowed to launch it, and it's running as Local System" - Mitja Kolsek


    حتى تأتي Microsoft مع تصحيح دائم، يتوفر تصحيح مؤقت من خلال النظام الأساسي 0Patch. إنه إصلاح تعليمي واحد لا يتطلب إعادة تشغيل النظام.

    يوضح الفيديو أدناه أن micropatch يمنع المستخدم المحلي غير المسؤول من تعديل قيمة التسجيل التي تشير إلى خدمة الفاكس القابلة للتنفيذ، مما قد يؤدي إلى تشغيل رمز المهاجم.

    يعمل الإصلاح المؤقت المجاني من 0Patch للأنظمة التالية:

    Windows 10 v20H2, 32/64bit, updated with January 2021 updates
    Windows 10 v2004, 32/64bit, updated with January 2021 updates
    Windows 10 v1909, 32/64bit, updated with January 2021 updates
    Windows 7, 32/64bit, with ESU, updated with January 2021 updates
    Windows 7, 32/64bit, without ESU, updated with January 2020 updates 

     

    Tags
    شارك هذا الرابط
    Tags: ,

    عن الموقع

    موقع تعليمي وإخباري عربي، من مصادر موثوقة، وجهات معتمدة. يهتم بالتعريف ونشر ومشاركة علوم الكمبيوتر والبرمجة وأنظمة التشغيل وأمن المعلومات، والاتصالات والهواتف والتطبيقات..
    www.tech-ram.com

    آخر الأخبار

    برنامج المبيعات والمشتريات والمخزون

    أرسل رسالة للموقع

    الاسم

    بريد إلكتروني *

    رسالة *