Microsoft已发布Windows 10 Update Assistant的新版本,以修复本地特权升级漏洞。尽管没有迫在眉睫的威胁,但是解决此漏洞的唯一方法是卸载程序或下载最新版本。
Windows 10 Update Assistant是一个Microsoft程序,可以帮助您下载并升级到Windows 10的最新版本。在Windows的较早版本上,它也可能间歇性地向您显示一些小警报,提示您安装最新的Windows 10功能更新。
在适用于1903版的Windows 10更新助手的早期版本中,存在一个漏洞,该漏洞可能允许攻击者提升其权限并执行通常不应该执行的命令。
Windows 10 Update Assistant漏洞
通过2019年10月补丁星期二的安全修复程序,Microsoft 在Windows 10 Update Assistant中发布了有关本地特权升级漏洞(CVE-2019-1378)的安全公告,该漏洞由安全研究员Jimmy Bayne发现。
此漏洞可能允许攻击者提升其权限,以运行具有SYSTEM特权的程序,这实际上使他们可以在Windows中执行所需的任何操作。
一天后的10月9日,Microsoft发布了更新的Windows 10 Update Assistant,该漏洞已修复。
在与BleepingComputer的对话中,Bayne认为此漏洞不是主要问题,只能在特定条件下使用。
“ WUA的发现不是我认为非常实用的LPE。可以通过劫持更新过程的一部分来实现提升,这使得攻击者可以将SYSTEM作为有效载荷执行。这是一个非常机会主义的情况,在此期间因此,用于Win 10 1903的WUA的先前版本很容易受到攻击,但这并不意味着使用先前版本的WUA更新的Windows计算机具有持久的漏洞。”
在讨论如何使用它时,Bayne告诉我们,最现实的用例是对拥有持久性和长期使用机器权限的APT参与者。
“提出的最现实的用例是APT类型的actor,如果其他途径用尽,则其在网络中的停留时间较长,可能会利用这一优势。”
话虽如此,Bayne确实认为用户应该始终运行最新版本的软件,尤其是在较旧版本具有已知漏洞的情况下。因此,建议用户卸载当前的Windows 10 Update Assistant,并在必要时下载并安装最新版本。
修复漏洞应采取的措施
许多用户不知道Windows 10 Update Assistant(WUA)不是一个独立程序,实际上会将其自身安装到Windows中的C: Windows10Upgrade文件夹中。
WUA可以通过从Microsoft下载程序手动安装在计算机上,也可以作为KB4023814更新的一部分进行安装。
要检查它是否已安装,您可以检查是否已安装KB4023814更新, ?或者在“应用程序和功能”控制面板中查看WUA是否有卸载条目,如下所示。
为了修复此漏洞,用户需要删除Windows 10 Update Assistant或 从Microsoft 下载最新版本(现在包含更新和固定版本)并进行安装。
对于大多数人来说,当您尝试升级到Windows 10的新版本并遇到问题时,只需删除该程序并安装最新版本就容易得多。
如果Windows 10 Update Assistant条目在“卸载程序”中列出,则可以从此处进行卸载。
无论如何安装,始终可以通过打开命令提示符,然后键入以下命令并按键盘上的Enter来删除Windows 10 Update Assistant 。
C:Windows10UpgradeWindows10UpgraderApp.exe /ForceUninstall
按Enter键后,将显示一个UAC提示,询问您是否要允许此应用程序进行更改。您应 在此提示下单击“ 是”按钮。
运行该命令时,它不会显示任何输出,而只是将您带回到另一个提示符。现在,您可以关闭命令提示符窗口。
要确认Windows 10更新助手已被删除,您可以检查 ?C: Windows10upgrade或 ?C: Windows Updateassistant文件夹是否存在。如果没有,则说明它已被完全删除。
如果这两个文件夹中的任何一个仍然存在,则可以将其删除。
如果由于某些原因无法删除这些文件夹,则可以启动任务管理器并结束UpdateAssistant.exe ?和 ?Windows10UpgraderApp.exe ?进程(如果它们正在运行)。终止后,您现在可以尝试再次删除文件夹。
现在已删除Windows 10 Update Assistant,Windows将不再受此漏洞影响。