现在可以通过0patch平台获得免费的微型补丁程序,用于修复Microsoft Windows PsExec管理工具中的本地特权升级(LPE)漏洞。
PsExec是一种完全交互式的telnet替换,允许系统管理员在远程系统上执行程序。PsExec工具还集成到企业工具中,并由企业工具使用,以远程启动其他计算机上的可执行文件。
这PSEXEC零日被命名管道劫持(也称为命名管道蹲)漏洞,允许攻击者诱骗到PSEXEC重新打开一个恶意创建导致命名管道,并给予它本地系统权限。
成功利用此漏洞后,威胁行为者将能够以本地系统的身份执行任意进程,从而有效地使他们可以接管机器。
任何Windows计算机,如果该计算机已经有非管理员攻击者试图提升其特权,则“如果使用PsExec(或使用PsExec的管理工具)来远程启动可执行文件”,则该计算机很容易受到尝试利用零日漏洞作为ACROS安全的攻击首席执行官兼0patch联合创始人Mitja Kolsek解释说。
影响过去14年中发布的PsExec版本
顽强的恶意软件研究人员David Wells发现了该漏洞,并于2020年12月9日公开披露了此漏洞,这是在Microsoft被告知且未修复该漏洞90天后。
Wells解释说: “如果PsExec是在目标计算机上本地或远程执行的,则这种本地特权升级允许非管理员进程升级到SYSTEM 。”
在研究此漏洞并创建概念证明时,Wells能够确认零影响影响从Windows XP到Windows 10的多个Windows版本。
他还发现,它会影响多个PsExec版本,从2006年发布的v1.72开始,到以近四年发布的最新版本PsExec v2.2结束,这意味着零时差会影响上一个版本中发布的所有PsExec版本14年。
Micropatch仅适用于最新的PsExec版本
Kolsek说,今天发布的免费微补丁已在内存中交付,不需要重新启动系统。
它适用于最新的32位和64位PsExec版本,但是随着Kolsek在今天早些时候发推文的用户反馈,它可能会移植到较旧的PsExec版本。
“此漏洞使攻击者能够以非管理员身份在您的远程计算机上运行代码(例如,通过以常规终端服务器用户身份登录,或以域用户身份建立RDP会话,或侵入易受攻击的非特权服务)运行在远程计算机上)以将其特权提升到本地系统,并在任何人针对该计算机使用PsExec时立即完全接管该计算机。”
对于家庭用户和小型企业来说,这可能不是高优先级的威胁,而对于大型企业而言,这可能是高威胁。
*编译:Domino
*来自:bleepingcomputer