0Patch 有针对 Windows“InstallerFileTakeOver”0day 漏洞的补丁,微软没有
Windows 有一个 0 天漏洞,称为 InstallerFileTakeOver,微软尚未解决。该漏洞是由安全研究员 Abdelhamid Naceri 发现的,他今年已经在 Windows 中发现了另外两个 0day 漏洞。
我们已经在 2021 年 11 月下旬在此站点上提到了该漏洞。该问题当时尚未修复,Microsoft 尚未发布解决该漏洞的安全更新。
微补丁公司 0Patch 本周针对该问题发布了一个免费补丁,可供所有用户使用。0Patch 发布的微补丁适用于以下操作系统:
- Windows 10 版本 1709 到 21H1。
- Windows 7 ESU
- Windows Server 2012、2012 R2、2016、2019。
- Windows Server 2008 R2 ESU
0Patch 指出,非 ESU Windows 7 和 Windows Server 2012 安装不受此漏洞影响。Windows Server 2022 和 Windows 11 可能也受到影响,但尚未得到公司的正式支持(因此没有补丁)。由于对特定版本的 Windows 兴趣不大,因此未对 Windows 8.1 进行分析。
该漏洞利用了 Windows Installer 在安装过程中创建的回滚文件。它存储在安装过程中删除或修改的文件,以允许回滚。回滚文件在系统目录中创建,然后移动到用户目录中的临时文件夹中。
Naceri 发现可以在该位置放置一个符号链接,从而将 RBF 文件移动到另一个位置。符号链接指向系统上的一个文件,然后用户可以访问该文件,前提是本地系统具有对它的写访问权限。
由于 Windows 安装程序作为本地系统运行,本地系统可写的任何文件都可以被本地用户覆盖并使其可写。
0Patch 创建的微补丁会检查回滚文件操作的目标是否包含联结或链接。如果是这种情况,该操作将被阻止,否则将被允许。
带有 0Patch 微补丁的补丁系统需要在 0Patch Central 上有一个免费帐户,并且需要从公司安装和注册 0Patch Agent。补丁是自动应用的,不需要重新启动。