SandboxEscaper debütiert mit ByeBear Windows Patch-Bypass

SandboxEscaper ist zurück, mit einer zweiten Umgehung für den aktuellen Windows-Patch CVE-2019-0841.

Der Guerilla-Entwickler SandboxEscaper hat einen zweiten Bypass für einen Patch veröffentlicht, der einen Fehler in der lokalen Privilegien-Eskalierung (LPE) von Windows behebt - wiederum ohne Microsoft zu benachrichtigen.

Die "ByeBear" genannte Schwachstelle ermöglicht es Angreifern, den Patch zu umgehen, um einen Fehler bei der Überschreibung von Berechtigungen und der Privilegien-Eskalierung (CVE-2019-0841) zu beheben, der existiert, weil der Windows AppX Deployment Service (AppXSVC) harte Links nicht korrekt behandelt. Er ermöglicht es einem lokalen Angreifer, Prozesse in einem erhöhten Kontext auszuführen, so dass er dann Programme installieren und Daten anzeigen, ändern oder löschen kann, so Microsoft.

SandboxEscaper hat ihren ersten Bypass für diesen Patch (der im April veröffentlicht wurde) vor zwei Wochen als Teil eines Caches mit vier Exploits veröffentlicht, die alle ohne die Einhaltung von Richtlinien zur verantwortungsvollen Offenlegung veröffentlicht wurden.

In einem Schreiben von Github vom Donnerstag für den Exploit sagte SandboxEscaper, dass sie die zweite Umgehung entdeckt habe, indem sie an einem Exploit arbeitete, der den Microsoft-Edge-Browser missbraucht. Laut ihrem GitHub-Artikel kann die Umgehung durch das Löschen aller Dateien und Unterordner innerhalb von ("c:\\\\\%Benutzername%\\\\\appdata\\\\\lokalen\\\Paketen\\\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\\\\") und den zweimaligen Start von Edge (beim ersten Mal stürzt es ab, sagte sie) durchgeführt werden.

"Wenn wir [Edge] ein zweites Mal starten, wird es die DACL [diskrete Zugriffskontrollliste] schreiben, während es sich als 'SYSTEM' ausgibt", so SandboxEscaper. "Der Trick hier ist, Edge durch Klicken auf der Taskleiste oder dem Desktop zu starten, wobei die Verwendung von 'start microsoft-edge:' zu einer korrekten Imitation zu führen scheint.

SandboxEscaper behauptete, dass dieser Fehler nicht nur auf Edge beschränkt ist: "Dies wird auch bei anderen Paketen ausgelöst", sagte sie auf GitHub. "Sie können also definitiv einen Weg finden, diesen Fehler stillschweigend auszulösen, ohne dass Edge auftaucht. Oder Sie könnten wahrscheinlich Edge minimieren, sobald es gestartet wird, und es schließen, sobald der Fehler beendet ist. Ich denke, er wird auch durch einen einmaligen Start von Edge ausgelöst, aber manchmal müssen Sie vielleicht ein wenig warten.

"Ich habe nicht ausgiebig getestet... ich habe diesen Fehler gefunden und schnell einen PoC geschrieben, ich habe insgesamt etwa zwei Stunden gebraucht, LPEs zu finden ist einfach", schrieb sie.

Laut Microsofts Beschreibung von CVE-2019-0841: "Um diese Schwachstelle auszunutzen, müsste sich ein Angreifer zunächst am System anmelden. Ein Angreifer könnte dann eine speziell gestaltete Anwendung ausführen, die die Schwachstelle ausnutzen und die Kontrolle über ein betroffenes System übernehmen könnte.

Ende Mai begann SandboxEscaper damit, Exploit-Code zu löschen - zunächst für einen Windows-Zero-Day-Exploit, der eine lokale Privilegien-Eskalation (LPE) durch den Import von Legacy-Tasks aus anderen Systemen in das Taskplaner-Dienstprogramm ermöglichen würde. Dieser spezielle Fehler hat jetzt dank der 0patch-Organisation einen Micropatch.

Außerdem wurde ein Fehler in der Windows-Fehlerberichterstattung (WER) (CVE-2019-0863) aufgedeckt, der in den Microsoft-Patch-Fixes für den Mai-Dienstag gepatcht wurde; ein Zero-Day, der sich auf Internet Explorer 11 auswirkt und es schlechten Akteuren ermöglichen könnte, eine DLL (Dynamic Link Library) in Internet Explorer einzufügen; und ein Problem mit der Umgehung des Installationsprogramms in Windows Update.

Mitja Kolsek von 0patch sagte Threatpost Anfang dieser Woche, dass der IE-Fehler nicht kritisch genug sei, um einen Micropatch zu rechtfertigen, und dass der Fehler im Installer nicht reproduziert werden könne - "[Wir] wissen, dass niemand erfolgreich dabei war (es könnte einfach sehr schwierig sein, ihn zu reproduzieren, oder von einigen externen Faktoren abhängen, die in unserer Testumgebung nicht vorhanden waren)," sagte er.

0patch arbeitet jedoch an einem Micropatch für den ersten CVE-2019-0841-Bypass und wird vermutlich auch diesen zweiten Bypass analysieren.

SandboxEscaper sagte, dass sie diese Art von Waffen gerne für 60.000 Dollar an nicht-westliche Käufer verkaufen würde (zum Zeitpunkt des Schreibens wurde der Exploit-Code aus Github entfernt). Sie hat in der Vergangenheit bereits voll funktionsfähige Windows-Null-Tage veröffentlicht. Im August letzten Jahres hat sie einen weiteren Fehler im Taskplaner auf Twitter veröffentlicht, der nur zwei Tage nach der Veröffentlichung in einer Spionagekampagne schnell in der freien Wildbahn ausgenutzt wurde.

Im Oktober veröffentlichte SandboxEscaper einen Exploit für den sogenannten "Deletebug"-Fehler, der in Microsofts Data Sharing Service (dssvc.dll) gefunden wurde. Und gegen Ende 2018 bot sie zwei weitere an: Den "angrypolarberbug", der es einem lokalen unprivilegierten Prozess erlaubt, jede beliebige Datei auf dem System zu überschreiben; und eine Schwachstelle, die es einem unprivilegierten Prozess, der auf einem Windows-Computer läuft, erlaubt, den Inhalt einer beliebigen Datei zu erhalten - selbst wenn die Berechtigungen für eine solche Datei keinen Lesezugriff erlauben.

Anzeige

Anzeige