0Patch为Windows 7和Windows Server 2008发布更新封堵提权漏洞
上周我们提到有研究人员发现Windows 7以及Windows Server 2008 (R2)的性能监视注册表存在安全配置错误。
此配置错误可用来进行本地账户提权带来潜在的安全威胁,但上述操作系统目前已经停止支持因此没有安全更新。
尽管微软后续也会制作安全更新但仅限付费购买扩展支持的客户使用,所以普通用户就没法获得微软官方的支持。
第三方安全平台0Patch倒是已经推出免费更新 ,该平台旨在为Windows提供各类非官方的修复程序提高安全性。
首先这枚安全漏洞位于RPC端点映射器和DNS缓存 , 严格来说漏洞是位于这些功能的注册表里并且存在错误配置。
HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper HKLM\SYSTEM\CurrentControlSet\Services\Dnscache
攻击者要做的就是提前制作好特定的DLL文件然后修改注册表,修改注册表可以欺骗RPC端点映射器和DNS缓存。
例如本地非管理员只需要在上述注册表路径创建Performance子键并填充内容 , 然后触发性能监视即可触发漏洞。
因为微软错误地配置会导致触发性能监视时WmiPrvSe.exe 自动加载攻击者控制的DLL文件进而引发更大的问题。
就目前来说该漏洞仅影响Windows 7以及 Windows Server 2008 (R2) 版 , 其他版本的Windows不受漏洞影响。
该平台发布消息称目前0Patch客户端已经提供上述漏洞的修复, 用户只需要下载安装确保是最新版即可修复漏洞。
通过该平台修复漏洞会暂时禁用DNSCLIENT/RPCEPTMAPPER的性能监视操作 ,即这些性能监视暂时不可使用。
如果用户想要继续使用这些性能监视的话则可以禁用对应的修复,禁用后可以恢复使用但也意味着漏洞也会恢复。
0Patch团队表示用户可以根据自己的需要进行修复, 通过该工具执行修复无需重启系统可以快速进行开启或关闭。