Windows Installer 的 Custom Actions 攻击面分析

文章预览

Windows Installer，利用自定义操作 一年多以前，我发表了我的关于Windows Installer服务的研究。文章详细解释了MSI修复过程如何在提升的上下文中执行，但由于缺乏模拟可能导致任意文件删除和类似问题。该问题得到了微软的确认（作为CVE-2023-21800），但从未直接修复。相反，引入了重定向防护措施，以减轻在 msiexec 进程上下文中的所有符号链接攻击。那时，我对这个解决方案并不特别满意，但我找不到任何绕过的方法。 事实证明，重定向防护措施按预期工作，因此我花了一些时间从其他角度攻击Windows Installer服务。发现了一些漏洞（CVE-2023-32016），但我始终认为微软处理模拟问题的方式并不完全正确。在另一轮研究中，这种未修复的行为变得非常有用。 本文描述了影响最新Windows 11版本的 未修补漏洞 。它展示了如何利用这个问题来提升本地用户的权限 ………………………………