Hacker revela segundo Zero-Day para evadir parche de vulnerabilidad EoP de Windows
Un investigador de seguridad anónimo llamado SandboxEscaper compartió públicamente un segundo exploit de día cero (Zero-Day) que se puede usar para eludir una vulnerabilidad de elevación de privilegios recientemente parcheada en el sistema operativo Windows de Microsoft.
SandboxEscaper es conocido por publicar exploits de día cero para vulnerabilidades de Windows sin parches. En el último año, dicho hacker ha revelado más de media docena de vulnerabilidades de día cero en el sistema operativo Windows, sin molestarse primero en informar a Microsoft de los problemas.
Hace solo dos semanas, este mismo hacker reveló cuatro nuevos exploits de Windows, uno de los cuales era un exploit que podría permitir a los atacantes evadir una vulnerabilidad de elevación de privilegios parcheada (CVE-2019-0841) en Windows que existe cuando el Servicio de implementación de Windows AppX (AppXSVC) administra incorrectamente los enlaces duros.
En este momento, el hacker afirma haber encontrado una nueva forma de eludir el parche de seguridad de Microsoft por la misma vulnerabilidad, lo que permite que una aplicación maliciosa especialmente diseñada aumente sus privilegios y tome el control completo de la máquina Windows parcheada.
Prueba de concepto
Este ha sido denominado como ByeBear, como puedes ver en la demo del video, el nuevo exploit abusa del navegador Microsoft Edge para escribir la lista de control de acceso discrecional (DACL) como privilegio del SYSTEM.
“Va a aumentar la prioridad de los subprocesos para aumentar nuestras probabilidades de ganar la condición de carrera de este exploit. Si tu VM se bloquea, significa que tiene 1 núcleo o configuras tu VM para que tenga múltiples procesadores en lugar de múltiples núcleos … lo que también hace que se bloquee”, explica SandboxEscaper.
“Este bug definitivamente no está restringido Edge. Esto también se activará con otros paquetes. Por lo tanto, definitivamente puedes encontrar una manera de desencadenar esta falla en silencio sin tener una ventana emergente. O probablemente podrías minimizar Edege tan pronto como sea posible, lo abres y lo cierras tan pronto como la falla se completa “.
“Creo que también se activará simplemente iniciando Edge una vez, pero a veces es posible que tengas que esperar un poco. No hice pruebas exhaustivas … encontré este error y rápidamente escribí una prueba de concepto, me tomó como 2 horas en total , encontrar LPE’s es fácil “.
Las próximas actualizaciones del martes del parche de Microsoft saldrán el 11 de junio, y sería interesante ver si la empresa reconocerá los cuatro exploits anteriores y el nuevo, y si lanzará soluciones de seguridad para abordarlas.
