Windows Installer特权安装漏洞(PathsAlwaysInstallElevated)分析与利用

漏洞概述

PathsAlwaysInstallElevated漏洞是由于启用了Windows Installer特权安装功能，允许任何权限用户以NT AUTHORITY\SYSTEM权限安装恶意MSI文件。这是一个危险的权限提升漏洞。

漏洞原理

Windows Installer组件

• Windows Installer是Windows操作系统的核心组件，用于管理和配置软件服务
• 包含两部分：
  • 客户端安装服务(Msiexec.exe)
  • MSI安装包文件
• 功能包括：软件安装管理、组件添加删除、文件还原监视、灾难恢复等

特权安装功能

当以下两个组策略同时启用时，任何用户都能以SYSTEM权限运行MSI安装包：

1. 计算机配置中的"永远以高特权进行安装"
2. 用户配置中的"永远以高特权进行安装"

漏洞检测

手动检测步骤

1. 打开组策略编辑器：
   • 运行gpedit.msc
2. 检查计算机配置：
   • 路径：计算机配置 > 管理模板 > Windows组件 > Windows Installer
   • 查看"永远以高特权进行安装"是否启用
3. 检查用户配置：
   • 路径：用户配置 > 管理模板 > Windows组件 > Windows Installer
   • 查看"永远以高特权进行安装"是否启用

漏洞利用

使用Metasploit框架

1. 使用模块：

   use exploit/windows/local/always_install_elevated
   

2. 模块特点：

   • 创建随机MSI文件
   • 提权后自动删除部署的文件
   • 返回SYSTEM权限的meterpreter会话

3. 常用命令：

   • 查看当前权限：getuid
   • 后台会话：background
   • 恢复会话：session -i [ID]

防御措施

1. 禁用特权安装：

   • 在组策略中禁用"永远以高特权进行安装"选项
   • 需要同时禁用计算机配置和用户配置中的设置

2. 权限控制：

   • 限制用户对组策略的修改权限
   • 实施最小权限原则

3. 监控与审计：

   • 监控MSI文件的异常安装行为
   • 审计组策略变更

总结

PathsAlwaysInstallElevated漏洞是一个严重的权限提升漏洞，通过滥用Windows Installer的特权安装功能，攻击者可以轻松获得SYSTEM权限。系统管理员应定期检查相关组策略设置，确保特权安装功能未被启用，特别是在多用户环境中。