历时4个月，微软终于修复Windows PSExec特权提升漏洞

资讯作者：看雪学院 2021-03-26 18:18:26 阅读：793

工具往往都是无属性的，他的用处取决于使用者。PsExec作为系统管理员的一种工具，能够让管理员做到远程控制目标电脑进程。简单的操作和便捷的命令让它在用户中深受好评。但是PsExec中存在一个致命的漏洞，却迟迟未得到修复。

2020年12月，研究员David Wells发现PsExec存在一个命名管道通信劫持漏洞，允许攻击者诱骗 PsExec 重新打开一个恶意创建的命名管道并授予它本地系统权限。

PsExec包含一个叫“PSEXESVC”的服务套件，当PsExec客户机对目标电脑运行PsExec时，该套件就会作为System被提取，然后被复制到目标机器上执行。

而远程PSEXESVC服务和PsExec客户端之间的通信一般在命名管道“\PSEXESVC”发生，该管道对客户端发出的命令进行解析以及执行。对于该命名管道，仅管理员可以访问。

但是Wells发现：如果低权限应用程序在执行PSEXESVC之前，先创建了“\PSEXESVC”命名管道的话。PSEXESVC运行以后，它就会直接获取现有实例的句柄，而不是重新创建一个新的命名管道。黑客通过管道抢注（首先创建管道的方法），就能让低权限应用程序也拥有命名管道的访问权。

也就是说，攻击者可以诱导PsExec打开其所创建的“恶意”命名管道，然后凭此获得进入权限，最终达成控制目标电脑的目的。

在报告漏洞后，Wells给了微软90天来解决该问题，但微软并没有做到。

2021年1月8日， 0patch团队发布关于该漏洞的微补丁，但据团队创始人透露，该补丁仅适用于32位和64位 PsExec 最新版本，问题仍未完全解决。

前天终于传来了好消息，Microsoft发布的PsExec v2.33，其中包括针对命名管道本地特权提升漏洞的新修复程序。

Tenable软件公司确认此版本已修复此漏洞。如果你是PsExec用户的话，记得及时进行更新，防止遭到攻击。

延伸阅读

微软停止通过系统更新向Windows 11推送旧版驱动程序避免安装过时版本

微软已经在服务端部署措施开始清理 Windows 更新中包含的旧版驱动程序，按照微软的描述这项政策主要针对 OEM，也就是当 OEM 提交新版驱动程序后，微软会自动从更新数据库里删除旧版驱动程序。旧版
网上流传160亿账号密码泄露但这些数据并非新的所以也不需要过于恐慌

从昨天开始有黑客售卖 160 亿条账号密码的消息迅速引起大家的关注，这份超大数据库涉及苹果、微软、谷歌、Meta 等等，有用户误以为这是最新泄露的数据。不过最近这些大型科技公司并未出现严重的安全事故，
微软在Windows 11右键菜单中新增询问Copilot按钮可以调用AI查内容

微软日前通过发布新版 Copilot AI 应用在 Windows 11 右键菜单 (上下文菜单) 中增加新选项：询问 Copilot。这个新选项让本来就已经比较臃肿的右键菜单更加臃肿，或许还会增加右

[广告]赞助链接：

*文章为作者独立观点，不代表 SSLHUB 立场

本文由看雪学院发表，转载此文章须经作者同意，并请附上出处( SSLHUB )及本页链接。

原文链接 https://www.sslhub.cn/freessl/news/674.html

微软

关注KnowSafe微信公众号
随时掌握互联网精彩