На платформе 0patch опубликовано бесплатное временное исправление уязвимости нулевого дня, связанной с локальным повышением привилегий в Windows 7 и Windows Server 2008 R2. Уязвимость затрагивает все устройства под управлением упомянутых ОС, в том числе зарегистрированные в программе расширенной поддержки Microsoft Extended Security Updates (ESU).
Исправление позволит защитить устройства до тех пор, пока Microsoft не выпустит официальный патч. Пользователи устройств на Windows 7 и Server 2008 R2, которые не зарегистрированы в программе ESU, также могут использовать это исправление.
Уязвимость локального повышения привилегий связана с неправильной настройкой двух ключей запуска служб в реестре. Эксплуатация бреши позволяет злоумышленнику, имеющему локальный доступ к атакуемой системе, повысить уровень привилегий. Проблему обнаружил исследователь Клемент Лабро, работающий в сфере информационной безопасности, который и заявил публично о своей находке в начале месяца.
В своём исследовании он подробно описал, как небезопасные разрешения для ключей реестра позволяют обмануть RPC Endpoint Mapper для загрузки вредоносных DLL. Благодаря этому злоумышленник может осуществить выполнение произвольного кода в контексте службы Windows Management Instrumentation с уровнем привилегий Local System.
«Если коротко, то локальный пользователь без прав администратора на компьютере просто создаёт подраздел в одном из проблемных ключей реестра, заполняет его определёнными значениями и запускает мониторинг производительности, что позволяет загрузить DLL злоумышленника с помощью процесса WmiPrvSE.exe и выполнению кода из него», — рассказал соучредитель 0patch Митя Колсек (Mitja Kolsek).
Он также отметил, что выпущенное 0patch исправление «саботирует операции мониторинга производительности двух затрагиваемых служб, а именно Dnsclient и RpcEptMapper». Если же потребуется запуск мониторинга производительности этих служб, то патч можно временно отключить.
Источник: