Um investigador independente divulgou uma série de provas de conceito para vulnerabilidades zero-day no Windows 10 e outros serviços da Microsoft
Em menos de 48 horas, uma investigadora divulgou uma série de provas de conceito (PoC) para distintas vulnerabilidades que afetam vários serviços da Microsoft. Trata-se de um bug no Administrador de Tarefas do Windows 10, falhas que afetam os serviços de Windows Error Reporting da Microsoft e do Internet Explorer 11 e, caso possa parecer pouco, nas últimas horas publicou no GitHub o código de uma nova PoC que permite escapar do patch lançado para mitigar uma vulnerabilidade que tinha sido corrigida em abril deste ano.
Vulnerabilidade zero-day no Administrador de Tarefas do Windows
Sob o pseudónimo de SandBoxEscaper, a investigadora independente publicou pela primeira vez na terça-feira no GitHub o código de uma PoC para explorar uma vulnerabilidade zero-day no Windows 10, que segundo explica, reside no Administrador de Tarefas; um processo designado como Task Sheduler. Trata-se de uma vulnerabilidade que permite escalar privilégios e torna possível que um hacker execute código com privilégios de administrador nas máquinas comprometidas até, inclusive, permitir tomar o controlo total do equipamento.
Um hacker pode utilizar ficheiros .job malformados que aproveitam a falha, permitindo-lhes obter privilégios no sistema e até alcançar níveis de administrador, permitindo a um intruso aceder a todo o sistema. Para demonstrar isto mesmo, a SandboxEscaper publicou um vídeo que mostra a prova de conceito em ação.
Vulnerabilidades zero-day no Internet Explorer 11 e no serviço de Relatório de Erros
Além da vulnerabilidade zero-day no Administrador de Tarefas, a investigadora revelou que descobriu quatro vulnerabilidades zero-day. Horas mais tarde, publicou detalhes das mesmas vulnerabilidades.
No caso da falha que afeta o serviço de Relatório de Erros, ou Windows Error Reporting, o bug pode ser explorado mediante o uso de listas de Controlo de Acesso Discricionário (DACL), o qual consiste num mecanismo que permite identificar utilizadores e grupos que tenham permissões atribuídas ou negadas por motivos de segurança. No caso de um exploit bem-sucedido, um hacker pode apagar ou editar qualquer arquivo do Windows, incluindo executáveis de sistema, explicou SandboxEscaper no GitHub.
A investigadora independente chamou a esta vulnerabilidade de “AngryPolarBearBug2”, já que no ano passado quando descoberta outra falha no mesmo serviço do Windows foi chamada de “AngryPolarBearBug”, e que permitia a um hacker sem privilégios subscrever qualquer arquivo do sistema. No entanto, a própria investigadora explica que se trata de uma vulnerabilidade que não é fácil explorar.
Contudo, e conforma explicou a Microsoft ao meio Zdnet, foi lançado um patch há cerca de uma semana com o lançamento das atualizações de segurança correspondentes no mês de maio de 2019, o qual tem como referência CVE-2019-0863. Segundo refere o meio, esta falha já tinha sido reportada, pelo que o que foi publicado recentemente pela investigadora trata-se do código para explorar uma vulnerabilidade para a qual já existe um patch.
No caso da vulnerabilidade que afeta o Internet Explorer 11, para além do código da prova de conceito e de um breve vídeo que mostra a mesma em ação, não existem muitos detalhes deste zero-day. Segundo explica SandBoxEscaper no GitHub, esta vulnerabilidade permitiria a um hacker injetar código malicioso no browser devido a um erro na forma como é interpretado um arquivo DLL malicioso.
Novo PoC permite ultrapassar patch para vulnerabilidade CVE-2019-0841
Por último, no dia de ontem SandBoxEscaper publicou os detalhes do código de uma nova PoC que permite explorar a vulnerabilidade CVE-2019-0841que tinha aparentemente ficado resolvida com um patch em abril. Trabalhando sobre o mesmo conceito de escalar privilégios a partir da alteração das permissões de acesso a certos arquivos, o código agora divulgado permite ultrapassar o recente patch, pelo que a vulnerabilidade continua possível de ser explorada.
Não é a primeira vez que SandBoxEscaper divulga vulnerabilidades zero-day que afetam o Windows. Em 2018, a investigadora publicou a descoberta de quatro vulnerabilidades, e uma delas foi mesmo explorada numa campanha do grupo PowerPool a poucos dias da sua divulgação.
Estas novas vulnerabilidades saíram a luz pouco depois da Microsoft ter lançado o pacote de atualizações de segurança que publica mensalmente, pelo que os utilizadores deverão esperar pelo próximo mês para novos patches.
