微软一直头疼的是尝试多次修复了Windows Installer组件中的一个漏洞，但一直无济于事。今天，第三方对该漏洞再次发布一个微型补丁，以拒绝黑客选择在受感染系统上获得最高特权。

该问题影响Windows 7到Windows 10。Microsoft解决该问题的最新努力（CVE-2020-16902）是在10月。2020年12月下旬出现了绕过概念验证（PoC）漏洞利用代码的漏洞。

0Patch的临时免费修复程序适用于以下系统：

• Windows 10 v20H2,32 / 64位，已于2021年1月更新

• Windows 10 v2004 32/64位，已于2021年1月更新

• Windows 10 v1909,32 / 64位，已于2021年1月更新

• Windows 7、32 / 64位带ESU，已于2021年1月更新

• Windows 7、32 / 64位不带ESU，已于2020年1月更新

修补，绕过，重复

在安装MSI软件包的过程中，Windows Installer会通过“ msiexec.exe”创建回退脚本，以在过程中出现任何错误时还原所有更改。

如果具有本地特权的黑客可以将回滚脚本替换为更改注册表值以指向其有效负载的脚本，则可以运行具有SYSTEM权限的可执行文件。

该漏洞引起了微软的广泛关注，并于2019年4月 （CVE-2019-0841）得到修复 。漏洞研究人员Sandbox Escaper 于5月底发现了该漏洞的另一个绕过漏洞 ，并发布了一些技术细节。

这个缝缝补补微软又重复了四次（CVE-2019-1415，  CVE-2020-1302，  CVE-2020-0814，  CVE-2020-16902），并且直到现在Windows Installer仍可利用以将特权升级到受感染计算机上的最高权限。

这不安全研究员Abdelhamid Naceri在他的博客中披露了最新的绕过方法，以及影响多个安全软件解决方案的其他漏洞。

提供临时修复

ACROS Security首席执行官兼0patch微补丁服务的共同创始人Mitja Kolsek 解释 了Naceri针对该漏洞的PoC（无跟踪编号）如何工作：

概念验证使用的是回滚脚本，该脚本将HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ Fax \ ImagePath的值更改  为c：\ Windows \ temp \ asmae.exe，这导致使用攻击者的asmae.exe的传真服务。服务启动时。之所以使用该服务，是因为任何用户都可以启动该服务，并且该服务作为本地系统运行。

就这一特定的0day而言，Microsoft绕过的修补程序正试图通过首先确定使用默认c：\ Config.Msi文件夹存储回滚脚本是否安全来阻止恶意回滚脚本的植入，如果不安全，请使用其他文件夹c：\ Windows \ Installer \ Config.Msi。Abdelhamid注意到此修复程序存在逻辑缺陷，迫使Windows Installer继续使用c：\ Config.Msi，然后执行与他的CVE-2020-16902概念验证相同的步骤，以将自己提升为本地系统。

在Microsoft提出永久补丁之前，可以通过0Patch平台获得一个临时补丁。它是单指令修复程序，不需要重新启动系统。

下面的视频显示，该微补丁程序阻止本地非管理员用户修改指向传真服务可执行文件的注册表值，这将导致运行攻击者代码。

微补丁

研究人员承认不明白为什么Microsoft决定在无条件地将c：\ Windows \ Installer \ Config.Msi文件夹用作回调脚本并完全避免大量攻击的情况下决定为其CVE-2020-16902修复程序增加更多复杂性c：\ Config.Msi暴露给的向量。也许他们不想让Windows文件夹混乱。

无论如何，研究人员决定如果Microsoft认为c：\ Windows \ Installer \ Config.Msi文件夹在某些攻击者可控制的条件下可以承载回滚脚本，那么如果强制Windows Installer进行安装，则它不会破坏任何内容。始终将其用于回滚脚本。它作为本地系统运行，因此权限应该没有问题，本地攻击者也无法以任何相关方式触摸此文件夹。

这就是通过更改Microsoft对CVE-2020-16902的修复的逻辑来解决此0day问题的单指令微补丁，现在它始终决定使用c：\ Windows \ Installer \ Config.Msi文件夹：

MODULE_PATH "..\Affected_Modules\msi.dll_5.0.19041.746_64bit\msi.dll"PATCH_ID 538PATCH_FORMAT_VER 2VULN_ID 6912PLATFORM win64
patchlet_start    PATCHLET_ID 1    PATCHLET_TYPE 2    PATCHLET_OFFSET 0xc2bcc    N_ORIGINALBYTES 5    JUMPOVERBYTES 0
    code_start        mov ebx,1    ; use C:\Windows\installer\Config.Msi instead of C:\Config.Msi    code_end
patchlet_end

根据研究人员的指南， 在Microsoft发布正式补丁之前，此微型补丁对所有人免费。在您阅读本文时，微补丁已分发到所有在线0patch代理，并且会自动应用，除非企业策略禁止这样做。如果您不是0patch用户，并且想在计算机上使用此微型补丁，请在0patch Central中创建一个帐户，安装0patch代理并将其注册到您的帐户。请注意，无需重新启动计算机即可安装代理或应用/取消应用任何0patch微补丁。

https://central.0patch.com

推荐文章++++

*猖狂！微软、思科源码惨遭黑客 100 万美元打包出售

*微软：黑客访问了我们内部源代码