天创培训:您身边的信息安全培训专家!
开班计划
2019年8月CISP培训开班通知
主讲老师   张老师、王老师等
开课时间   2019年8月6日-11日
培训方式   实地/面授
授课天次   培训5天+考试半天
上课时间   09:00 -- 16:30
课程介绍 在线报名
CISP-PTE渗透测试工程师8月班
主讲老师   张老师、高老师等
开课时间   2019年8月15日-22日
培训方式   实地/面授
授课天次   9天
上课时间   09:00 -- 17:00
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

Windows 0day!她放出第9枚 0day,承诺还要放

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2019-06-11  关键词:0day

  安全研究员兼利用开发人员 SandEscaper 又公开了 Windows 的一个 0day 详情和 PoC,可导致普通用户的权限提升为管理员权限。攻击者可借此安装程序,查看、改变或删除数据。


  这个 0day 漏洞绕过了微软在4月份修复的 CVE-2019-0841。CVE-2019-0841可在普通用户的上下文中进行利用,以获取受保护文件的完全控制权,即获得管理员权限和系统权限。


  以 Edge 演示,也适用于其它目标


  SandEscaper公开了这个本地权限提升 0day 漏洞的详情,并表示可通过删除有限权限下的文件和文件夹的普通用户账户触发该漏洞,位于 Edge 浏览器的如下位置:


  c:\users\%username%\appdata\local\packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\


  启动 Edge 将导致应用程序崩溃但再此启动会导致其写入自定义访问列表第 (DACL) 并假冒系统账户。


  SandboxEscaper 解释称,应该从任务栏或桌面快捷方式启用 Edge 浏览器,否则会产生不正确的假冒行为。她表示,这个利用代码仅通过 Edge 来演示漏洞情况,但其它数据包也可触发该bug。


  SandEscaper 指出,“所以,你肯定能找到无需导致 Edge 弹出的情况下触发该 bug 的方式。或者你可以在 Edge 启动时将其尽可能最小化并在 bug 完成时尽可能关闭它。我认为只需要启动一次 Edge 就能触发它,不过有时候你得等一等。”


  她还表示,她找到漏洞后大概用了约两小时的时间写 PoC 利用代码。她还发布了演示视频:


  这个 0day 已被 CERT/CC 漏洞分析师 Will Dormann 证实,他在 Windows 10 最新更新的版本1809和1903上成功测试。他还证实称,攻击者可随心所欲地更改攻击目标。他指出,“在默认情况下,公开利用代码导致当前用户获得 c:windowswin.ini的完全控制权限。但目标文件可被轻易改变为攻击者想要攻击的任何目标。我觉得以后我们还会看到更多类似 bug。”


  需要说明的是,这个新的0day 是一个本地权限提升漏洞 (LPE),也就是说黑客无法利用它入侵系统,但可用于获取在正常情况下无法获取的某些文件控制权限。


  原始的权限提升漏洞是 CVE-2019-0841,是由多名安全研究员发现并告知微软的。


  Dimension Data 公司的研究员 Nabeel Ahmed 就是其中之一,补丁发布不久后他就公开了技术详情和演示利用代码。


  SandboxEscaper 在5月23日发布了CVE-2019-0841的首个绕过,同时发布了 IE 11中出现的沙箱逃逸漏洞。她刚刚发布的这个绕过是自2018年8月以来她发布的9个0day。她在5月份已发布3个0day。虽然微软可能有时候修复前三个 0day,但在6月11日发布6月份的补丁星期二之前应该无法修复刚刚发布的这个 0day。


  ALPC 中的 LPE 漏洞


  微软数据共享 (dssvc.dll) 中的 LPE


  ReadFile 中的 LPE


  Windows 错误报告 (WER) 系统中的 LPE


  Windows Task Scheduler 进程中的 LPE


  IE 11 的沙箱逃逸


  Windows 错误报告服务中的 LPE,从技术角度而言它并非 0day。在 SandEscaper 发布演示利用代码之前,微软已经修复了该问题。


  绕过 CVE-2019-0841的保护措施


  Windows Installer 文件夹的 LPE


  承诺再放出1个0day


  然而,事情远未结束。SandEscaper 在博客中表示:


  她写到:这是 CVE-2019-0841的第二个绕过。我永远不会成为信息安全行业的一员,人们已经在很久之前就以不同的方式告诉我了。我只是一个无害的疯狂之人,现在在分享着无害的 LPE。随便吧,拜拜!




推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000