记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

SandboxEscaper携Windows 0 day归来

2019-06-12 12:25

近日,SandboxEscaper又在GitHub上公布了一个Windows 0 day漏洞ByeBear的详细情况,该0 day漏洞影响Windows 10和Server 2019。

CVE-2019-0841补丁绕过

关于该0 day漏洞,更确切的说是对微软漏洞CVE-2019-0841修复补丁的绕过。SandboxEscaper在没有通知微软的情况下就公布了CVE-2019-0841 Windows本地权限提升漏洞的绕过漏洞利用,并附上了PoC。

SandboxEscaper将该漏洞利用命名为ByeBear,该漏洞利用可以让攻击者绕过微软的CVE-2019-0841补丁来进行权限提升。微软在2019年4月发布了CVE-2019-0841的补丁,其中提到CVE-2019-0841是由于Windows AppX Deployment Service (AppXSVC)不当处理硬链接导致的。绕过该补丁允许本地攻击者在权限提升的环境中运行进程,然后安装程序,查看、修改和删除数据。

两周前,SandboxEscaper发布了针对该补丁的第一个绕过,与之前的漏洞发布一样,都没有事先通知微软。

上周四,SandboxEscaper在GitHub的writeup中写道,通过滥用Microsoft Edge浏览器漏洞他发现了第二个补丁绕过漏洞。绕过是通过删除c:\\users\\%username%\\appdata\\local\\packages\\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\\中的所有文件和子文件夹,然后启动Edge浏览器2次,因为第一次启动会奔溃。第二次启动Edge时,会模仿SYSTEM写入DACL [discretionary access control list]。该方法可以通过点击桌面任务栏、点击microsoft-edge来启动Edge。

PoC视频见原文:https://threatpost.com/sandboxescaper-byebear-windows-bypass/145470/

SandboxEscaper称该bug并不限于Edge,也可以用其他不需要弹窗的方式来静默地触发该漏洞。理论上讲启动Edge 1次就可以了,但有时候需要启动2次才可以。

根据微软对CVE-2019-0841漏洞的描述,攻击者首先需要登陆到系统中,然后运行特殊伪造的应用来利用该漏洞并控制受影响的系统。

这是SandboxEscaper 5月以来发布的第4个0 day漏洞,因为下次微软安全更新时间应该是6月11日,因此研究人员认为微软本次不会修复该0 day漏洞。

目前ByeBear GitHub页面已经被删除。

image.png

本文翻译自:https://threatpost.com/sandboxescaper-byebear-windows-bypass/145470/ 与 https://www.zdnet.com/article/windows-10-zero-day-details-published-on-github/如若转载,请注明原文地址: http://www.hackdig.com/06/hack-55231.htm
知识来源: https://www.4hou.com/vulnerable/18469.html

阅读:33059 | 评论:0 | 标签:漏洞 0 day

想收藏或者和大家分享这篇好文章→复制链接地址

“SandboxEscaper携Windows 0 day归来”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云