phpinstallermsi技巧_运用 MSI 修复功能进行提权进击 Linux 内核 611 正式宣告

文章目录 [+]

漏洞事理

MSI 安装程序常日用于在 Windows 系统上安装运用程序，其修复功能许可低权限用户实行，但实行高下文却是高权限的 NT AUTHORITY\SYSTEM。
攻击者可以利用此功能，在程序实行过程中，通过短暂涌现的提升权限窗口，实现权限提升。

phpinstallermsi技巧_运用 MSI 修复功能进行提权进击 Linux 内核 611 正式宣告

攻击步骤

（图片来自网络侵删）

关闭浏览器。
以低权限用户身份启动修复过程，例如实行 msiexec.exe /fa <path/to/installer.msi>。
当玄色掌握台窗口弹出时，右键单击窗口栏并选择“属性”，阻挡窗口关闭。
点击“旧版掌握台模式”，选择浏览器对话框将会打开。
选择浏览器，例如 Firefox。
在 Firefox 中按下 Ctrl+O，打开文件对话框。
在顶部栏输入 cmd.exe 并回车，将打开一个新的命令窗口。
此时你将拥有一个 SYSTEM 权限的命令窗口。

利用技巧

利用 SetOpLock.exe 工具锁定安装程序访问的文件，可以延长弹出窗口的持续韶光，方便操作。
可以利用 ProcMon 工具剖析安装程序访问的文件，找到得当的锁定目标。

漏洞检测

手动检测: 利用 ProcMon 工具监控安装程序的进程树，查找以 SYSTEM 权限实行的掌握台运用程序。
自动检测: 利用开源工具 "msiscan" 剖析 MSI 文件，识别潜在的漏洞。
该工具可以识别以高权限实行的自定义操作、调用掌握台运用程序的二进制文件以及不屈安的脚本或可实行文件。

缓解方法

MSI 包开拓者: 避免在高权限高下文中实行掌握台运用程序，可以利用 WiX Toolset 等工具隐蔽窗口，或者将掌握台运用程序修正为隐蔽窗口的窗口运用程序。
IT 管理员: 及时安装微软发布的补丁 (CVE-2024-38014)，更新 Windows 系统和所有软件。

检测规则

可以利用以下 Sigma 规则检测潜在的攻击行为：

win_application_msi_repair.yml: 检测 MSI 修复过程完成事宜 (Event ID 11728)。
process_creation_windows_msiexec_repair.yml: 检测利用修复参数实行 msiexec.exe 的行为。
process_creation_windows_elevated_msiexec.yml: 检测以 SYSTEM 权限实行 msiexec.exe 的行为。
process_creation_windows_elevated_openwith.yml: 检测以 SYSTEM 权限实行 OpenWith.exe 的行为。
process_creation_windows_elevated_system_shell_browser_parent.yml: 检测从浏览器进程启动的 SYSTEM 权限 shell。
correlation_msi_privesc.yml: 关联高权限 msiexec 进程和高权限 shell 的涌现，检测利用 MSI 漏洞进行提权的行为。

MSI 安装程序修复功能中的安全漏洞是一个严重的安全风险，攻击者可以利用该漏洞获取系统最高权限。
开拓者和系统管理员须要采纳相应的方法，戒备此类攻击。

来源： https://sec-consult.com/blog/detail/msi-installer-repair-to-system-a-detailed-journey/

Linux 内核 6.11 正式发布，都有哪些新特性？

Linux 之父 Linus Torvalds 于 9 月 15 日正式发布了 Linux 内核 6.11 稳定版，带来了浩瀚新功能和改进。

Linux 6.11 的亮点包括：

全新驱动子系统：为高通平台上的蓝牙/WLAN 芯片供应上游支持。
getrandom() 支持 vDSO： x86 系统上新增一种 mmap(2) 映射，许可内核在内存压力下随时清零页面。
AArch64 (ARM64) ACPI 系统支持虚拟 CPU 热插拔。
创建中断域的新机制。
dmaengine_prep_peripheral_dma_vec() 函数：支持利用 dma 向量进行传输，并供应 AXI dma 文档和用户。
支持 STMicro STM32 DMA3。
支持最低版本的 Rust 工具链。
支持 Arrow Lake 和 Lunar Lake CPU 平台。
Loongson-3 CPUFreq 驱动支持。
amd-pstate cpufreq 驱动中支持快速 CPPC。
ACPI 风扇驱动支持 hwmon 接口。

其他主要更新：

KVM 更新：为 LoongArch 架构供应 ParaVirt steal time 支持、perf kvm-stat 支持和一些虚拟机迁移增强功能。
默认启用 KVM halt poll shrinking。
bcachefs 文件系统：重写磁盘记账方案，将记账信息存储为普通的 btree 键。
NFS：做事器端支持新的 pNFS NVMe 布局类型。
支持用 Rust 编写的块驱动程序。
专用桶 slab 分配器：防止堆喷射攻击。
初步支持 AMD 的 SEV-SNP 安全加密虚拟化机制。
用于固件加载的 Rust 抽象。
RISC-V 架构支持内存热插拔和 STACKLEAK。
统一的 VMware hypercall API 层：为机密打算办理方案添加 API 支持。
后台块组回收的新逻辑。
删除子卷后自动删除 cgroup。
Btrfs 文件系统新增 'rescue=' 挂载选项。
RISC-V ACPI 系统支持 NUMA。
浩瀚更新和新增驱动程序，供应更好的硬件支持。

须要把稳的是： Linux 内核 6.11 将是一个短期支持版本，仅掩护几个月。
它的继任者 Linux 内核 6.12 已经开放合并窗口，估量将于 2024 年 11 月中旬或下旬发布，并将成为下一个长期支持 (LTS) 内核系列。

来源： https://9to5linux.com/linux-kernel-6-11-officially-released-heres-whats-new