三番四次，Installer 0day 终于获得微补丁

该漏洞 (CVE-2020-16902) 影响 Windows 7 至10版本。微软10月份曾再次尝试修复该漏洞。2020年12月，带有 PoC 利用代码的绕过现身。

在安装 MSI 包时，Windows Installer 通过 “msiexec.exe” 创建了一个回滚脚本，如过程中发生错误将恢复所做变化。具有本地权限的黑客如能修改注册表值指向其 payload以替换回滚脚本，则可运行可执行文件。

微软发现该漏洞并曾在2019年4月修复该漏洞（CVE-2019-0841），但漏洞研究员 Sandbox Escaper 在5月底找到一个绕过并公开了一些技术细节。这样的节奏重复了四次（CVE-2019-1415、CVE-2020-1302、CVE-2020-0814和CVE-2020-16902），Windows Installer 仍可遭利用，可导致攻击者在受陷机器上提权至最高权限。最新绕过是安全研究员 Abdelhamid Naceri 发现的，他还发现了影响多种其它安全软件解决方案上的漏洞。

ACROS Security 公司的首席执行官兼0patch 微补丁的联合创始人Mitja Kolsek 解释了 Naceri 的 PoC 如何起作用：“该 PoC 使用回滚脚本，将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fax\ImagePath的值更改为 c:\Windows\temp\asmae.exe从而导致该服务启动时，Fax Service 使用攻击者的 asmae.exe。该服务被使用的原因在于任意用户皆可启动该服务，且它以本地系统身份运行。

在微软推出永久补丁前，0Patch 平台发布了一个临时补丁。该补丁是单指令修复方案，无需重启系统。研究员通过视频演示了该微补丁如何阻止本地非管理员用户修改指向 Fax Service 可执行文件的注册表值，导致运行攻击者代码。

该免费的微补丁适用于如下系统：

• Windows 10 v20H2, 32/64位，更新于2021年1月

• Windows 10 v2004, 32/64位，更新于2021年1月

• Windows 10 v1909, 32/64位，更新于2021年1月

• Windows 7, 32/64位, 具有 ESU, 更新于2021年1月

• Windows 7, 32/64位, 无ESU, 更新于2021年1月

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。