歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

SandboxEscaper攜Windows 0 day歸來

來源:本站整理 作者:佚名 時間:2019-06-13 TAG: 我要投稿

近日,SandboxEscaper又在GitHub上公布了一個Windows 0 day漏洞ByeBear的詳細情況,該0 day漏洞影響Windows 10和Server 2019。
CVE-2019-0841補丁繞過
關于該0 day漏洞,更確切的說是對微軟漏洞CVE-2019-0841修復補丁的繞過。SandboxEscaper在沒有通知微軟的情況下就公布了CVE-2019-0841 Windows本地權限提升漏洞的繞過漏洞利用,并附上了PoC。
SandboxEscaper將該漏洞利用命名為ByeBear,該漏洞利用可以讓攻擊者繞過微軟的CVE-2019-0841補丁來進行權限提升。微軟在2019年4月發布了CVE-2019-0841的補丁,其中提到CVE-2019-0841是由于Windows AppX Deployment Service (AppXSVC)不當處理硬鏈接導致的。繞過該補丁允許本地攻擊者在權限提升的環境中運行進程,然后安裝程序,查看、修改和刪除數據。
兩周前,SandboxEscaper發布了針對該補丁的第一個繞過,與之前的漏洞發布一樣,都沒有事先通知微軟。
上周四,SandboxEscaper在GitHub的writeup中寫道,通過濫用Microsoft Edge瀏覽器漏洞他發現了第二個補丁繞過漏洞。繞過是通過刪除c:\\users\\%username%\\appdata\\local\\packages\\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\\中的所有文件和子文件夾,然后啟動Edge瀏覽器2次,因為第一次啟動會奔潰。第二次啟動Edge時,會模仿SYSTEM寫入DACL [discretionary access control list]。該方法可以通過點擊桌面任務欄、點擊microsoft-edge來啟動Edge。
PoC視頻見原文:https://threatpost.com/sandboxescaper-byebear-windows-bypass/145470/
SandboxEscaper稱該bug并不限于Edge,也可以用其他不需要彈窗的方式來靜默地觸發該漏洞。理論上講啟動Edge 1次就可以了,但有時候需要啟動2次才可以。
根據微軟對CVE-2019-0841漏洞的描述,攻擊者首先需要登陸到系統中,然后運行特殊偽造的應用來利用該漏洞并控制受影響的系統。
這是SandboxEscaper 5月以來發布的第4個0 day漏洞,因為下次微軟安全更新時間應該是6月11日,因此研究人員認為微軟本次不會修復該0 day漏洞。
目前ByeBear GitHub頁面已經被刪除。

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视