安全研究员兼利用开发人员 SandEscaper 又公开了 Windows 的一个 0day 详情和 PoC,可导致普通用户的权限提升为管理员权限。攻击者可借此安装程序,查看、改变或删除数据。
这个 0day 漏洞绕过了微软在4月份修复的 CVE-2019-0841。CVE-2019-0841可在普通用户的上下文中进行利用,以获取受保护文件的完全控制权,即获得管理员权限和系统权限。
以 Edge 演示,也适用于其它目标
SandEscaper公开了这个本地权限提升 0day 漏洞的详情,并表示可通过删除有限权限下的文件和文件夹的普通用户账户触发该漏洞,位于 Edge 浏览器的如下位置:
c:\users\%username%\appdata\local\packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\
启动 Edge 将导致应用程序崩溃但再此启动会导致其写入自定义访问列表第 (DACL) 并假冒系统账户。
SandboxEscaper 解释称,应该从任务栏或桌面快捷方式启用 Edge 浏览器,否则会产生不正确的假冒行为。她表示,这个利用代码仅通过 Edge 来演示漏洞情况,但其它数据包也可触发该bug。
SandEscaper 指出,“所以,你肯定能找到无需导致 Edge 弹出的情况下触发该 bug 的方式。或者你可以在 Edge 启动时将其尽可能最小化并在 bug 完成时尽可能关闭它。我认为只需要启动一次 Edge 就能触发它,不过有时候你得等一等。”
她还表示,她找到漏洞后大概用了约两小时的时间写 PoC 利用代码。她还发布了演示视频:
这个 0day 已被 CERT/CC 漏洞分析师 Will Dormann 证实,他在 Windows 10 最新更新的版本1809和1903上成功测试。他还证实称,攻击者可随心所欲地更改攻击目标。他指出,“在默认情况下,公开利用代码导致当前用户获得 c:windowswin.ini的完全控制权限。但目标文件可被轻易改变为攻击者想要攻击的任何目标。我觉得以后我们还会看到更多类似 bug。”
需要说明的是,这个新的0day 是一个本地权限提升漏洞 (LPE),也就是说黑客无法利用它入侵系统,但可用于获取在正常情况下无法获取的某些文件控制权限。
原始的权限提升漏洞是 CVE-2019-0841,是由多名安全研究员发现并告知微软的。
Dimension Data 公司的研究员 Nabeel Ahmed 就是其中之一,补丁发布不久后他就公开了技术详情和演示利用代码。
SandboxEscaper 在5月23日发布了CVE-2019-0841的首个绕过,同时发布了 IE 11中出现的沙箱逃逸漏洞。她刚刚发布的这个绕过是自2018年8月以来她发布的9个0day。她在5月份已发布3个0day。虽然微软可能有时候修复前三个 0day,但在6月11日发布6月份的补丁星期二之前应该无法修复刚刚发布的这个 0day。
ALPC 中的 LPE 漏洞
微软数据共享 (dssvc.dll) 中的 LPE
ReadFile 中的 LPE
Windows 错误报告 (WER) 系统中的 LPE
Windows Task Scheduler 进程中的 LPE
IE 11 的沙箱逃逸
Windows 错误报告服务中的 LPE,从技术角度而言它并非 0day。在 SandEscaper 发布演示利用代码之前,微软已经修复了该问题。
绕过 CVE-2019-0841的保护措施
Windows Installer 文件夹的 LPE
承诺再放出1个0day
然而,事情远未结束。SandEscaper 在博客中表示:
她写到:这是 CVE-2019-0841的第二个绕过。我永远不会成为信息安全行业的一员,人们已经在很久之前就以不同的方式告诉我了。我只是一个无害的疯狂之人,现在在分享着无害的 LPE。随便吧,拜拜!