0Patch ha una patch per la vulnerabilità 0-day “InstallerFileTakeOver” di Windows, Microsoft non ne ha nessuna
Esiste una vulnerabilità di 0 giorni per Windows, chiamata InstallerFileTakeOver, che Microsoft deve ancora affrontare. La vulnerabilità è stata scoperta da Abdelhamid Naceri, un ricercatore di sicurezza, che già quest’anno ha scoperto altre due vulnerabilità 0-day in Windows.
Abbiamo menzionato la vulnerabilità alla fine di novembre 2021 già qui su questo sito. Il problema è stato risolto e Microsoft deve ancora rilasciare un aggiornamento di sicurezza che risolva la vulnerabilità.
La società di micro-patch 0Patch ha rilasciato una patch gratuita per il problema questa settimana che è disponibile per tutti gli utenti. La micropatch rilasciata da 0Patch è disponibile per i seguenti sistemi operativi:
- Windows 10 dalla versione 1709 alla 21H1.
- Windows 7 ESU
- Windows Server 2012, 2012 R2, 2016, 2019.
- Windows Server 2008 R2 ESU
0Patch rileva che le installazioni di Windows 7 e Windows Server 2012 non ESU non sono interessate dalla vulnerabilità. Probabilmente anche Windows Server 2022 e Windows 11 sono interessati, ma non sono ancora ufficialmente supportati dalla società (quindi nessuna patch). Windows 8.1 non è stato analizzato a causa del basso interesse per la particolare versione di Windows.
La vulnerabilità sfrutta i file di ripristino creati da Windows Installer durante l’installazione. Memorizza i file che vengono eliminati o modificati durante il processo di installazione, per consentire i rollback. Il file di rollback viene creato nelle directory di sistema e quindi spostato in una cartella temporanea nella directory dell’utente.
Naceri ha scoperto che un collegamento simbolico può essere posizionato nella posizione, in modo che il file RBF venga spostato in un’altra posizione. Il collegamento simbolico punta a un file sul sistema che viene quindi reso accessibile all’utente, a condizione che il sistema locale disponga dell’accesso in scrittura.
Poiché Windows Installer è in esecuzione come Sistema locale, qualsiasi file scrivibile da Sistema locale può essere sovrascritto e reso scrivibile dall’utente locale.
La micropatch che 0Patch ha creato controlla se la destinazione per l’operazione del file di rollback contiene giunzioni o collegamenti. L’operazione viene bloccata in tal caso o consentita in altro modo.
L’applicazione di patch ai sistemi con micropatch 0Patch richiede un account gratuito presso 0Patch Central e l’installazione e la registrazione di 0Patch Agent dall’azienda. La patch viene applicata automaticamente, non è necessario riavviare.
Ecco un video dimostrativo che 0Patch ha pubblicato su YouTube:
Ecco il video della nostra micropatch in azione. Senza la micropatch, l’exploit funziona e una finestra della riga di comando viene avviata come Local System; con la micropatch, il codice che correggiamo in msi.dll determina che il percorso di destinazione contiene un collegamento simbolico, interrompe l’operazione di spostamento del file e attiva un evento “Exploit bloccato”.
Dai un’occhiata al blog 0Patch per ulteriori dettagli.