主要观点：微软 Windows MSI 安装程序的修复功能存在多种漏洞，可能导致本地攻击者将权限提升至 SYSTEM 权限，漏洞编号为 CVE-2024-38014。文中介绍了一种利用 MSI 安装程序修复功能进行特权提升的攻击方法，包括手动和自动识别漏洞的方式，还提到了相关的开源工具“msiscan”以及微软的补丁措施等。

关键信息：

• MSI 安装程序是 Windows 系统上安装应用的常见方式，其修复功能可由低权限用户执行，但可能在 NT AUTHORITY\SYSTEM 上下文中运行，从而引发特权提升攻击。
• 文中的攻击方法利用 GUI 访问和支持的浏览器，通过特定步骤打开带有 SYSTEM 权限的命令窗口，以实现特权提升。
• 介绍了手动和自动识别漏洞的方法，手动方法快速但繁琐，自动方法可快速识别潜在目标但有假阴性。
• 微软已针对该漏洞发布补丁，修复措施是在安装程序执行提升权限的操作时触发用户账户控制 (UAC) 提示，拒绝提示则安装中止。
• 还提供了针对 MSI 包作者和 IT 管理员的缓解措施，以及检测该漏洞的相关 Sigma 规则。

重要细节：

• 文中提到多个因 MSI 安装程序漏洞导致的特权提升事件，如 PDF24 Creator、SoftMaker Office 2024 等。
• 介绍了用于锁定文件以防止命令窗口关闭的工具 SetOpLock.exe 及其使用方法。
• 详细说明了 MSI 安装程序文件的结构和 vulnerable installer 需满足的条件。
• 开源工具“msiscan”可用于分析 MSI 文件，离线识别潜在漏洞，但有假阴性。
• 给出了检测该漏洞的多个 Sigma 规则，包括检测 msiexec 修复功能执行、elevated msiexec 执行、elevated OpenWith 执行、elevated system shell 从浏览器 spawn 等。
• 阐述了整个事件的时间线，从 2024 年初向微软报告问题到 9 月发布补丁和技术博客文章。