Een security-onderzoeker en het exploiteren van verkoper zal door de naam van SandboxEscaper heeft vandaag gepubliceerde nieuwe Windows zero-dagen voor de derde dag op een rij.
Op haar GitHub-account, de onderzoeker gepubliceerd proof-of-concept code voor twee zero-dagen, maar ook korte explainers op het gebruik van de twee exploits.
Deze twee nieuwe exploits mark de zevende en acht zero-dagen de onderzoeker heeft gepubliceerd in de laatste tien maanden.
Om samen te vatten, in de loop van de laatste drie dagen, ze publiceerde ook:
– LPE te exploiteren in de Windows Taakplanner proces [21]
– Sandbox te ontsnappen voor Internet Explorer 11 [22 Mei]
– een LPE in de Windows Error Reporting service [22 Mei] — technisch niet een zero-day. Het was gebleken dat Microsoft al gepatcht de zaak voor SandboxEscaper uitgebracht haar demo exploit code.
Voor deze week is releases, SandboxEscaper had ook gepubliceerd vier andere Windows zero-dagen vorig jaar, waarin begrepen:
– LPE in Geavanceerde Local Procedure Call (ALPC)
– LPE in Microsoft Data te Delen (dssvc.dll)
– LPE in ReadFile
– LPE in de Windows foutrapportage systeem
CVE-2019-0841 bypass
De eerste zero-day dat SandboxEscaper dat vandaag is gepubliceerd, is een bypass voor Microsoft ‘ s huidige patch voor CVE-2019-0841.
CVE-2019-0841 is een lek waarmee lage bevoorrechte gebruikers te kapen bestanden die eigendom zijn van NT AUTHORITYSYSTEM door het overschrijven van de rechten van de betreffende bestand. Succesvolle exploitatie resultaten van de “Volledige Controle” machtigingen voor de lage privileged user — volgens Nabeel Ahmed van Dimension Data in België, die Microsoft gecrediteerd met het ontdekken van deze fout op de eerste plaats.
Microsoft gepatcht CVE-2019-0841 in de April 2019 Patch Tuesday, de afgelopen maand, waarin het als een bug in de manier waarop Windows AppX Implementatie Service (AppXSVC) niet goed verwerkt harde koppelingen.
SandboxEscaper de exploit code laat zien dat er nog steeds een manier te exploiteren CVE-2019-0841, ondanks de patch van Microsoft.
SandboxEscaper de PoC omzeilt CVE-2019-0841 patches. Een demo van haar PoC in actie hieronder: pic.twitter.com/ruCdYpA6uK
— Catalin Cimpanu (@campuscodi) 23 Mei 2019
Even voor de duidelijkheid, dit is nog een LPE (lokale privilege escalation) kwetsbaarheid, wat betekent dat hackers niet kunnen benutten van deze bug in te breken in systemen, maar ze kunnen het gebruiken om volledige toegang te krijgen tot een volledige PC, zelfs als de punt van een inbraak was een low-bevoorrechte account.
Zero-day gericht op Windows Installer map
De tweede zero-day dat SandboxEscaper publiceerde vandaag de doelstellingen van de Windows Installer-map (C:WindowsInstaller).
In een GitHub bestand, de onderzoeker legt uit dat er een korte tijd (race conditie) bij het repareren van een Windows app installeren wanneer het proces kan worden gekaapt om bestanden te schrijven tot onbevoegde gebieden van een Windows OS.
Deze fout, die misbruik maakt van de msiexec /fa (Reparatie-Installatie -) operatie, kan worden gebruikt om planten malware en over te nemen van computers waarop hackers hadden in eerste instantie kreeg alleen toegang tot een lage-bevoorrechte account.
De zero-day PoC moet laten aanvallers met toegang tot lage-accounts plant malware in onbevoegde mappen.
Demo hieronder: pic.twitter.com/zNwI9N80K0
— Catalin Cimpanu (@campuscodi) 23 Mei 2019
Vergeleken met de nul-dagen SandboxEscaper dat gisteren is gepubliceerd, geacht nutteloos door de meeste security onderzoekers ZDNet sprak met deze twee nieuwe kwetsbaarheden lijken meer te zijn nuttig in de werkelijke malware campagnes, hoewel, SandboEscaper deed er rekening mee dat de tweede misschien een beetje onbetrouwbaar vanwege de korte tijd die venster van haar zero-day heeft op het exploiteren van kwetsbare computers.
ZDNet heeft medegedeeld Microsoft van deze twee nieuwe exploits en werken we wanneer we een antwoord te krijgen.
Meer kwetsbaarheid rapporten:
Windows 10 zero-day exploit code vrijgegeven onlineTwo meer Microsoft zero-dagen geupload op GitHub
Een groot deel van Ethereum cliënten blijven unpatchedIntel Cpu ‘ s beïnvloed door nieuwe Zombieload side-channel attackPatch status voor de nieuwe MDS aanvallen tegen Intel CPUsRoot account onjuiste gevonden in 20% van de top 1.000 van de Docker containersKRACK aanval: Hier is hoe bedrijven reageren CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Microsoft
Beveiliging TV
Data Management
CXO
Datacenters