PrivescCheck项目新增对Windows修复模式权限提升问题的检测能力

在Windows操作系统中，MSI安装程序的修复模式长期以来存在一个需要注意的安全问题。攻击者可以利用该机制进行权限提升，从普通用户权限提升至SYSTEM权限。微软在2024年9月的安全更新中针对此问题发布了修复补丁，并引入了一个新的注册表键值作为缓解措施。

PrivescCheck作为一款专业的Windows权限提升检测工具，其最新版本已经加入了针对这一安全配置的检测功能。当工具运行时，它会自动检查注册表路径下的关键配置项：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\DisableLUAInRepair

这个注册表项的值具有重要的安全意义：

• 当设置为1时：系统将回退到不安全的原始行为，允许通过MSI修复模式进行权限提升
• 当设置为0或不存在时：系统将启用安全修复，阻止此类攻击

微软在安全公告中明确指出，这个问题可能允许攻击者绕过用户账户控制(UAC)机制。攻击者可以构造一个特殊的MSI安装包，在触发修复模式时获得系统最高权限。

对于系统管理员和安全研究人员来说，PrivescCheck的这一新增功能提供了便捷的检测手段。工具不仅会报告注册表项的设置状态，还会给出明确的安全建议。当检测到不安全的配置时，建议用户立即采取以下措施：

1. 确保系统已安装最新的安全补丁
2. 将DisableLUAInRepair值设置为0或删除该键值
3. 审核系统中是否存在可疑的MSI安装包

这一改进体现了PrivescCheck项目团队对Windows安全威胁的快速响应能力，也展现了该工具在权限提升检测领域的专业性和全面性。对于从事Windows安全评估的专业人员来说，及时更新到包含此检测功能的最新版本至关重要。