O investigador SandboxEscaper lança novo PoC para a quarta vulnerabilidade zero-day no Windows desde agosto.

Para o investigador SandboxEscaper, a melhor maneira de terminar o ano 2018 é o lançamento de uma nova prova de conceito (PoC) para a quarta vulnerabilidade de dia zero descoberta em 2018. Na verdade,  todas as vulns foram publicadas durante o periodo agosto-dezembro.

O código de prova de conceito (PoC) publicado pela SandboxEscaper sobrescreve “pci.sys” com informações sobre problemas de software e hardware, registados por meio da infraestrutura de feedback baseada em eventos do Relatório de Erros do Windows (WER).

O investigador SandboxEscaper inicialmente anunciou o lançamento do código PoC para o novo ano, mas ele decidiu publicamente divulgá-lo dois dias após o dia de Natal.

O especialista alerta sobre algumas limitações do código na utilização do PoC, uma vez que pode não funcionar em determinados CPUs, p.e.x, ele não irá funcionar em CPUs com um único core.

Ele também acrescentou que pode levar algum tempo para acionar o issue porque ele depende de uma race condition e outras operações a rodarem em simultaneo podem influenciar o resultado.

Esta PoC tem a capacidade de desativar a solução endpoint-protection dos antivírus nas máquinas alvo.

“You can also use it to perhaps disable third-party AV software,” the expert explained.

 

Will Dormann, investigador do CERT / CC, conseguiu executar com sucesso o exploit no Windows 10 Home, build 17134. O investigador confirmou que o exploit nem sempre funciona — tal como relatado pelo SandboxEscaper, em que dizia que nem sempre o exploit poderia funcionar derivado a outras caraterísticas (típico de uma race condition).

 

Por outro lado, já os especialistas da BleepingComputer apontaram que o exploit também pode causar uma condição de DoS.

“Since the target is ‘pci.sys,’ SandboxEscaper’s PoC can cause a denial-of-service on the machine, from a user that does not have administrative privileges. ‘Pci.sys’ a system component necessary for correctly booting the operating system, since it enumerates physical device objects.” reads a blog post published on BleepingComputer.

 

O investigador SandboxEscaper disse que comunicou o bug para o Microsoft Security Response Center (MSRC) depois de publicar o PoC na Internet.

SandboxEscaper-Windows-Zero-day

 

Como mencionado, não é a primeira nem a segunda vez que o autor da descoberta publica provas de conceitos desta natureza.

Já em dezembro deste ano, o investigador lançou um exploit que permitia a leitura de ficheiros arbitrários e que podia ser explorada por utilizadores com poucos privilégios no sistema de forma a ler conteúdo de qualquer sistema do Windows.

Investigador SandboxEscaper divulga a terceira vulnerabilidade zero-day no Windows em poucos meses

 

Em outubro, o SandboxEscaper lançou o código de exploração de prova de conceito do Microsoft Data Sharing que permitia que um utilizador com poucos privilégios excluísse ficheiros críticos do sistema.

Vulnerabilidade zero-day ‘Deletetbug’ permite escalonamento de privilégios no Windows

 

Em agosto, lançou o exploit PoC para uma falha de escalonamento de privilégios local no Agendador de Tarefas do Microsoft Windows.

Zero-day vulnerability do Windows 10 foi divulgada no Twitter