Компания Microsoft выпустила частичное исправление для уязвимости в Windows 7 и Windows Server 2008 R2, вызванной неправильной конфигурацией ключей реестра двух служб и позволяющая атакующему локально на компьютере жертвы повысить свои привилегии.

Данная проблема была описана исследователем безопасности Клементом Лабро, который обнаружил небезопасные разрешения в ключах реестра служб RpcEptMapper и DnsCache, позволяющие злоумышленникам заставить RPC Endpoint Mapper загрузить вредоносные DLL на Windows 7 и Windows Server 2008R2. С помощью уязвимости атакующие могут выполнить произвольный код в контексте службы Windows Management Instrumentation (WMI), работающей с привилегиями LocalSystem.

Соучредитель 0patch Митя Колшек еще в ноябре 2020 года прокомментировал данную проблему: "Если вкратце, локальный пользователь без привилегий администратора просто создает субключ Performance в одном из вышеупомянутых ключей, заполняет его некоторыми значениями и запускает мониторинг производительности, что приводит к загрузке процессом Local System WmiPrvSE.exe библиотеки DLL атакующего и выполнению из нее кода".

Корпорация Microsoft тайно исправила уязвимость в ключе реестра RpcEptMapper в апреле 2021 года путем изменения разрешений. В частности, была убрана возможность создания субключей для групп "Авторизованные пользователи" и "Пользователи". Уязвимость в DnsCache все еще не исправлена. Эксплоит для уязвимости существует с февраля 2021 года.