В блоге 0patch появилась информация о уязвимости нулевого дня для Windows 7 и Server 2008 R2, которая позволяет пользователям с ограниченными правами повысить их до системных. Суть в том, что по умолчанию в службах Dnscache и RpcEptMapper неправильно выставлены права доступа, что позволяет создать специально сконфигурированный подраздел и указать там свою библиотеку, которая в свою очередь будет загружена программой мониторинга производительности системы. Подробности и примеры можно прочитать на странице автора. На данный момент официальных исправлений нет, а ждать декабрьских обновлений долго, поэтому выпускаю обновление набора. В своей статье авторы публикуют микропатч, для которого нужно устанавливать программу и держать её запущенной, но в этом нет необходимости, достаточно забрать у ограниченных пользователей права создания подразделов в ветках указанных служб.
Соответствующий патч для UpdatePack7R2 можно загрузить здесь (заменено новым выпуском), на основе доступной 20.11.11 он создаст новую версию 20.11.27, которую и можно запустить для устранения уязвимости. Исправление будет сделано даже в том случае, если у вас уже установлены все ноябрьские обновления, проверить это можно вручную или скриптом PrivescCheck. Точно так же исправление будет установлено при интеграции обновлений в дистрибутив. UpdatePack7R2 не выводит дополнительной информации об установке этого исправления, однако если в его журнале будет запись о том, что версия 20.11.27 или выше запускалась, значит исправление установлено.
В UpdatePack7R2 20.12.10 и выше права устанавливаются только на подраздел Performance, что исключает влияние на систему при неправильно выставленных правах на сами службы.
Обнаружилось, что это исправление может привести к чёрному экрану на говносборках, подробнее в ветке комментариев здесь. Пользователям говносборок не рекомендуется применять UpdatePack7R2 версии 20.11.27, в следующем выпуске это будет исправлено.
В UpdatePack7R2 20.12.10 и выше права устанавливаются только на подраздел Performance, что исключает влияние на систему при неправильно выставленных правах на сами службы.
Патч ломает оценку индекса производительности Windows. Причём первый запуск норм. После второго краш службы происходит. И всё, далее уже индекс не считывает. Система лицензия, образ тоже родной.
С чего вы взяли, что причина в этом исправлении? Проверил на Win7x64, оценка индекса производительности выполняется без ошибок два раза подряд.
С версией UpdatePack7R2-20.11.11, проблема не наблюдалась. После установки патча выявил. В пакетах за декабрь-январь тоже самое. Возможно причина в откате на IE9, который меня попросили вернуть вместо IE11. Сейчас проверить не могу, так как нет той машины под рукой.
P.S
Проверю ещё у себя на какой-нибудь тестовой сборке. Отпишусь. Уже самому интересно стало =)
В общем не в «ишачках» загвоздка оказалась, а в службе технологий активации. Как-то этот патч повлиял на неё. Если выключена, то вычисление индекса производительности на лицензионных системах может работать некорректно. Перевод службы в ручной режим, решает проблему.
Если вы о службе «Защита программного обеспечения» (sppsvc), то она обязана быть рабочей, иначе лицензирование системы и других продуктов Microsoft будет работать с ошибками, независимо от обновлений.
Нет. Про службу «watadminsvc» речь.
Это вообще из KB971033, его можно удалить.
Спасибо. Понял.
Система с частично установленными обновлениями, лицензия. Ваш пакет поверх накатывал, он отключает данную службу. Выявил случайно: Видеодрайвера новые поставил, пошел индекс обновить, словил падение службы индексации. То бишь после установки патча 20.11.27, возникает зависимость между этими двумя службами. Если отключена та, падает эта… 🙂
P.S
Фоточка для наглядности. Какие ещё зависимости могут возникнуть после интеграции этого патча… хз. Мутноватый он какой-то.
https://hostingkartinok.com/show-image.php?id=1a40c50c6124e6ba5d452a56867ae2ce
Ох уж эта Windows 7, 12 лет исправляют, исправляют, а дыр всё больше становиться.