Windows 7和Windows server 2008 0 day漏洞

法国安全研究人员Clément Labro在分析Windows 安全工具更新时意外发现了一个影响Windows 7和Windows Server 2008 R2系统的0 day漏洞。

漏洞位于RPC Endpoint Mapper和DNS Cache服务的2个错误配置的注册表中，RPC Endpoint Mapper和DNS Cache服务是所有Windows 安装中的必备部分。

· HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper

· HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

Clément Labro称，攻击者利用该0 day漏洞可以修改这些注册表的内容来激活Windows 性能监控机制使用的子键。

性能子键一般用来监控应用程序的性能，因此允许开发者使用定制工具来加载自己的DLL 文件来记录性能。

在最近的Windows 版本中，这些DLL 被限制了，加载后的权限也不大。但是在Windows 7和Windows server 2008中，任何可以加载以SYSTEM 级权限运行的定制DLL。

Labro称是在发布常用的Windows安全错误配置工具PrivescCheck后发现的该0 day漏洞，恶意软件可以利用这些安全错误配置来进行权限提升。新发布的PrivescCheck 支持对新的集合进行权限提升检查，并发现了一个新的、未修复的权限提升漏洞。因为将漏洞私下提交给微软耗时较长，因此研究人员选择在博客上公开该漏洞。

ZDNet也联系了微软，但是没有得到官方的回复。因为Windows 7和Windows Server 2008 R2都已经停止官方更新了，微软也不在提供免费的安全更新。但部分Windows 7用户可以通过ESU (Extended Support Updates) 项目来付费获取一些安全更新。

目前还不清楚微软是否会修复该0 day漏洞，但ACROS安全公司已经提供了一个微补丁。微补丁需要通过该公司的0patch 安全软件来安装。

更多关于该0 day漏洞的技术细节参见：https://itm4n.github.io/windows-registry-rpceptmapper-eop/

ACROS安全发布的微补丁参见：https://blog.0patch.com/2020/11/0day-in-windows-7-and-server-2008-r2.html