ИБ-специалистка, известная под псевдонимом SandboxEscaper, обнародовала новую порцию PoC-эксплоитов для еще неисправленных уязвимостей в Windows.

Нужно отметить, что это далеко не первый раз, когда исследовательница публикует эксплоиты для свежих проблем в Windows, не дожидаясь выхода исправлений. Например, первый 0-day исследовательница раскрыла в конце лета 2018 года, о второй проблеме нулевого дня она сообщила в конце октября 2018 года, а в декабре обнародовала уже третий PoC.

На этот раз SandboxEscaper начала с рассказа о проблеме локального повышения привилегий в Windows 10, которая не позволит атакующему проникнуть в систему, но позволит закрепиться в ней и развить уже начатую атаку далее. Проблема связана с работой Планировщика заданий (Windows Task Scheduler): злоумышленник может запустить вредоносный  файл .job и при помощи бага внести изменения в DACL (discretionary access control list).

Proof-of-concept эксплоит, протестированный на 32-разрядной версии Windows 10, был опубликован на GitHub. При этом исследовательница утверждает, что проблема также актуальна и для более старых версий ОС, вплоть до Windows XP и Server 2003. Демо работы эксплоита было опубликовано журналистом издания ZDNet, и его можно увидеть ниже.

Вскоре после первой публикации SandboxEscaper раскрыла информацию еще о двух уязвимостях, также выложив эксплоиты для них в открытый доступ.

Еще одна проблема связана с сервисом Windows Error Reporting и получила название AngryPolarBearBug2. Этот баг представляет собой локальное повышение привилегий и очень похож на проблему AngryPolarBearBug, которую специалистка описывала еще в декабре прошлого года. Фактически с его помощью атакующий может получить доступ к редактированию файлов, которого он в нормальных обстоятельствах иметь не должен. SandboxEscaper отмечает, что воспользоваться этой уязвимостью будет нелегко, так как для эксплуатации бага может потребоваться более 15 минут.

Третья проблема затрагивает браузер Internet Explorer 11. Этот баг позволяет осуществить инжект вредоносного кода в IE, однако его не выйдет использовать удаленно, что существенно снижает опасность проблемы. Ниже можно увидеть пример использования эксплоита.

В личном блоге SandboxEscaper пишет, что это далеко не все баги, о которых она хочет рассказать и обещает раскрыть детали еще двух уязвимостей в Windows, а также выложить в открытый доступ эксплоиты для них.

UPD.

Выяснилось, что проблема AngryPolarBearBug2 -- это не уязвимость нулевого дня. Специалисты Palo Alto Networks заметили, что PoC исследовательницы, это фактически эксплоит для уязвимости CVE-2019-0863, которая была исправлена инженерами Microsoft в мае текущего года. Стоит заметить, что к моменту выхода патча проблема CVE-2019-0863 уже активно использовалась злоумышленниками.

1 комментарий

  1. Аватар

    emeliyanov

    18.06.2019 at 03:08

    > ИБ-специалистка
    You know the rules.

Оставить мнение