Wie versprochen, hat der Entwickler SandboxEscaper nach der gestrigen Veröffentlichung eines Windows-Zero-Days den Exploit-Code für vier weitere Fehler fallen gelassen.
Nach der Veröffentlichung eines Windows-Zero-Day-Angriffs am Mittwoch hat der Entwickler SandboxEscaper am Donnerstagmorgen den Angriffscode für vier weitere Fehler fallen gelassen.
Am Mittwoch hat sie einen Windows-Zero-Day-Angriff fallen gelassen, der eine lokale Privilegien-Eskalation (LPE) durch den Import von Legacy-Tasks aus anderen Systemen in das Taskplaner-Dienstprogramm ermöglicht - und sie versprach vier weitere ungepatchte Fehler, während sie dabei war.
SandboxEscaper hielt dieses Versprechen ein und veröffentlichte am Donnerstag auf GitHub den Proof-of-Concepts (PoCs) für drei weitere Windows LPE-Fehler und eine Sandbox-Escape Zero-Day-Schwachstelle mit Auswirkungen auf Internet Explorer 11. Eine davon stellt sich jedoch als bereits gepatcht heraus.
Wie sie darauf hinwies, wurde ein Fehler, für den der Exploit-Code am Donnerstag fallen gelassen wurde, ein Windows Error Reporting (WER)-Fehler (CVE-2019-0863), Anfang dieses Monats tatsächlich in den Microsoft-Patch-Korrekturen für den Mai-Dienstag gepatcht (ein Forscher von Palo Alto Networks und "Polar Bear", ein Alias, der manchmal von SandboxEscaper verwendet wird, wurde bestätigt). Das ist eine Schwachstelle in der Art und Weise, wie WER mit Dateien umgeht, die es einem Angreifer ermöglicht, beliebigen Code im Kernel-Modus auszuführen, Programme zu installieren, Daten anzuzeigen, zu ändern oder zu löschen oder neue Konten mit Administrator-Rechten zu erstellen.
Die zweite Schwachstelle ist eine Zero-Day-Schwachstelle, die sich auf Internet Explorer 11 auswirkt und es bösen Akteuren ermöglichen könnte, eine Dynamic Link Library (DLL) in Internet Explorer einzufügen. Der dritte Fehler ist eine Umgehung eines zuvor veröffentlichten Patches, der einen Fehler bei der Überschreibung von Windows-Berechtigungen und der Berechtigungs-Eskalierung behebt (CVE-2019-0841). Der Fehler existiert, weil der Windows AppX Deployment Service (AppXSVC) unsachgemäß mit Hardlinks umgeht.
Für diesen Fehler "gibt es immer noch eine Wettlaufsituation im Installationsprogramm", sagte SandboxEscaper. "Es gibt also ein wirklich kleines Zeitfenster, um ein Rennen zu gewinnen, in dem wir, wenn wir nach der Prüfung, aber bevor die DACL [Discretionary Access Control List] geschrieben wird, eine Verbindung setzen, immer noch unseren ursprünglichen PoC zum Laufen bringen können. Auch hier handelt es sich um ein wirklich kleines Zeitfenster, und obwohl es sich bei meinem Setup zuverlässig zu reproduzieren scheint ... weiß ich nicht, ob es bei Ihrem auch so sein wird. Ich habe ein procmon.exe-Protokoll angehängt."
Obwohl SandboxEscaper PoC-Demos für diese letzten drei Mängel veröffentlicht hat, haben die Forscher ihre Gültigkeit noch nicht bestätigt.
Die Motivation für die Veröffentlichung von Exploit-Code, ohne dem Verkäufer Zeit zu geben, einen Patch zu veröffentlichen, ist unklar, obwohl SandboxEscaper Anfang der Woche sagte, dass sie die Exploits an nicht-westliche Käufer für 60.000 in einer nicht näher spezifizierten Währung verkaufen möchte.
"Offensichtlich ist sie kein Fan des Westens", sagte Adam Kujawa, Direktor von Malwarebytes Labs, im Gespräch mit Threatpost. "Ihre Motivation mag politisch sein, aber da sie kein Reverse Engineer ist und ihre 'Heldentaten' mehr Privilegien-Eskalationsangriffe sind als Methoden zur Infektion neuer Systeme (die sie weit weniger gefährlich machen als andere Heldentaten da draußen), bezweifle ich, dass sie eine professionelle Schwachstellenjägerin ist. Sie ist jedoch offensichtlich finanziell motiviert".
SandboxEscaper hat in der Vergangenheit voll funktionsfähige Windows-Null-Tage veröffentlicht: So hat sie beispielsweise im August einen weiteren Fehler des Taskplaners auf Twitter vorgestellt, der nur zwei Tage nach der Enthüllung schnell in einer Spionagekampagne in der freien Wildbahn ausgenutzt wurde.
Im Oktober veröffentlichte SandboxEscaper einen Exploit für den sogenannten "Deletebug"-Fehler, der in Microsofts Data Sharing Service (dssvc.dll) gefunden wurde. Und gegen Ende 2018 bot sie zwei weitere an: Den "angrypolarberbug", der es einem lokalen unprivilegierten Prozess erlaubt, jede beliebige Datei auf dem System zu überschreiben; und eine Schwachstelle, die es einem unprivilegierten Prozess, der auf einem Windows-Computer läuft, erlaubt, den Inhalt einer beliebigen Datei zu erhalten - selbst wenn die Berechtigungen für eine solche Datei keinen Lesezugriff erlauben.