O investigador SandboxEscaper está de volta e, pela terceira vez em poucos meses, lançou uma prova de conceito (PoC) para uma nova vulnerabilidade de dia zero que afeta o sistema operativo Windows da Microsoft.
Desde o mês de agosto que o investigador autodenominado SandboxEscaper publicou dois POCs [1] [2] relativos a duas vulnerabilidades dia zero no sistema operativo Windows.
Isso obrigou a Microsoft a lançar dois remendos extraordinários out-of-band como meio de resolver os problemas num curto espaço de tempo e evitar que os utilizadores do seu SO fossem alvo de cibercrimes.
A última e terceira falha de dia zero divulgada pelo investigador SandboxEscaper é uma vulnerabilidade de leitura arbitrária de ficheiros e que pode ser explorada por um utilizador com poucos privilégios ou através de um programa mal-intencionado para aceder o conteúdo de qualquer ficheiro no SO Windows.
https://t.co/yHxeJRyQrC New 0day. My github got taken down. And screw it, I’m not going to get anything for this bug anymore. So you can all go fuck yourselves. Bye, happy holidays.
— SandboxEscaper (@Evil_Polar_Bear) December 20, 2018
A vulnerabilidade afeta a função “MsiAdvertiseProduct“. Esta função permite que o instalador registe num script as informações de registo e atalho usadas para atribuir ou publicar um produto. O script pode ser escrito para ser consistente com uma plataforma especificada utilizando o MsiAdvertiseProductEx.
Segundo a documentação da Microsoft:
The MsiAdvertiseProductEx function generates an advertise script or advertises a product to the computer. This function enables Windows Installer to write to a script the registry and shortcut information used to assign or publish a product. The script can be written to be consistent with a specified platform by using MsiAdvertiseProductEx. The MsiAdvertiseProductEx function provides the same functionality as MsiAdvertiseProduct.
De acordo com o SandboxEscaper, a falta de validação podia permitir que um atacante forçasse o serviço do instalador a fazer uma cópia de qualquer ficheiro com privilégios SYSTEM e aceder (ler) o seu conteúdo.
“Even without an enumeration vector, this is still bad news, because a lot of document software, like office, will actually keep files in static locations that contain the full path and file names of recently opened documents..,” explained the expert.
“Thus by reading files like this, you can get filenames of documents created by other users.. the filesystem is a spiderweb and references to user-created files can be found everywhere.. so not having an enumeration bug is not that big of a deal.“
O investigador publicou um vídeo PoC da vulnerabilidade e também uma exploração como prova de conceito (PoC) no Github. A conta do GitHub do investigador foi entretanto bloqueada.
Como mencionado, não é a primeira nem a segunda vez que o autor da descoberta publica provas de conceitos desta natureza.
Em outubro, o SandboxEscaper lançou o código de exploração de prova de conceito do Microsoft Data Sharing que permitia que um utilizador com poucos privilégios excluísse ficheiros críticos do sistema.
Vulnerabilidade zero-day ‘Deletetbug’ permite escalonamento de privilégios no Windows
Em agosto, lançou o exploit PoC para uma falha de escalonamento de privilégios local no Agendador de Tarefas do Microsoft Windows.
Zero-day vulnerability do Windows 10 foi divulgada no Twitter
One Reply to “Investigador SandboxEscaper divulga a terceira vulnerabilidade zero-day no Windows em poucos meses”