Divulgados vários exploits para vulnerabilidades zero-day que afetam a Microsoft

Um investigador independente divulgou uma série de provas de conceito para vulnerabilidades zero-day no Windows 10 e outros serviços da Microsoft

Em menos de 48 horas, uma investigadora divulgou uma série de provas de conceito (PoC) para distintas vulnerabilidades que afetam vários serviços da Microsoft. Trata-se de um bug no Administrador de Tarefas do Windows 10, falhas que afetam os serviços de Windows Error Reporting da Microsoft e do Internet Explorer 11 e, caso possa parecer pouco, nas últimas horas publicou no GitHub o código de uma nova PoC que permite escapar do patch lançado para mitigar uma vulnerabilidade que tinha sido corrigida em abril deste ano.

Vulnerabilidade zero-day no Administrador de Tarefas do Windows 

Sob o pseudónimo de SandBoxEscaper, a investigadora independente publicou pela primeira vez na terça-feira no GitHub o código de uma PoC para explorar uma vulnerabilidade zero-day no Windows 10, que segundo explica, reside no Administrador de Tarefas; um processo designado como Task Sheduler. Trata-se de uma vulnerabilidade que permite escalar privilégios e torna possível que um hacker execute código com privilégios de administrador nas máquinas comprometidas até, inclusive, permitir tomar o controlo total do equipamento.

Um hacker pode utilizar ficheiros .job malformados que aproveitam a falha, permitindo-lhes obter privilégios no sistema e até alcançar níveis de administrador, permitindo a um intruso aceder a todo o sistema. Para demonstrar isto mesmo, a SandboxEscaper publicou um vídeo que mostra a prova de conceito em ação.

Vulnerabilidades zero-day no Internet Explorer 11 e no serviço de Relatório de Erros

Além da vulnerabilidade zero-day no Administrador de Tarefas, a investigadora revelou que descobriu quatro vulnerabilidades zero-day. Horas mais tarde, publicou detalhes das mesmas vulnerabilidades.

No caso da falha que afeta o serviço de Relatório de Erros, ou Windows Error Reporting, o bug pode ser explorado mediante o uso de listas de Controlo de Acesso Discricionário (DACL), o qual consiste num mecanismo que permite identificar utilizadores e grupos que tenham permissões atribuídas ou negadas por motivos de segurança. No caso de um exploit bem-sucedido, um hacker pode apagar ou editar qualquer arquivo do Windows, incluindo executáveis de sistema, explicou SandboxEscaper no GitHub.

A investigadora independente chamou a esta vulnerabilidade de “AngryPolarBearBug2”, já que no ano passado quando descoberta outra falha no mesmo serviço do Windows foi chamada de “AngryPolarBearBug”, e que permitia a um hacker sem privilégios subscrever qualquer arquivo do sistema. No entanto, a própria investigadora explica que se trata de uma vulnerabilidade que não é fácil explorar.

Contudo, e conforma explicou a Microsoft ao meio Zdnet, foi lançado um patch há cerca de uma semana com o lançamento das atualizações de segurança correspondentes no mês de maio de 2019, o qual tem como referência CVE-2019-0863. Segundo refere o meio, esta falha já tinha sido reportada, pelo que o que foi publicado recentemente pela investigadora trata-se do código para explorar uma vulnerabilidade para a qual já existe um patch.

No caso da vulnerabilidade que afeta o Internet Explorer 11, para além do código da prova de conceito e de um breve vídeo que mostra a mesma em ação, não existem muitos detalhes deste zero-day. Segundo explica SandBoxEscaper no GitHub, esta vulnerabilidade permitiria a um hacker injetar código malicioso no browser devido a um erro na forma como é interpretado um arquivo DLL malicioso.

Novo PoC permite ultrapassar patch para vulnerabilidade CVE-2019-0841

Por último, no dia de ontem SandBoxEscaper publicou os detalhes do código de uma nova PoC que permite explorar a vulnerabilidade CVE-2019-0841que tinha aparentemente ficado resolvida com um patch em abril. Trabalhando sobre o mesmo conceito de escalar privilégios a partir da alteração das permissões de acesso a certos arquivos, o código agora divulgado permite ultrapassar o recente patch, pelo que a vulnerabilidade continua possível de ser explorada.

Não é a primeira vez que SandBoxEscaper divulga vulnerabilidades zero-day que afetam o Windows. Em 2018, a investigadora publicou a descoberta de quatro vulnerabilidades, e uma delas foi mesmo explorada numa campanha do grupo PowerPool a poucos dias da sua divulgação.

Estas novas vulnerabilidades saíram a luz pouco depois da Microsoft ter lançado o pacote de atualizações de segurança que publica mensalmente, pelo que os utilizadores deverão esperar pelo próximo mês para novos patches.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

1 + seventeen =

*