Para o investigador SandboxEscaper, a melhor maneira de terminar o ano 2018 é o lançamento de uma nova prova de conceito (PoC) para a quarta vulnerabilidade de dia zero descoberta em 2018. Na verdade, todas as vulns foram publicadas durante o periodo agosto-dezembro.
O código de prova de conceito (PoC) publicado pela SandboxEscaper sobrescreve “pci.sys” com informações sobre problemas de software e hardware, registados por meio da infraestrutura de feedback baseada em eventos do Relatório de Erros do Windows (WER).
O investigador SandboxEscaper inicialmente anunciou o lançamento do código PoC para o novo ano, mas ele decidiu publicamente divulgá-lo dois dias após o dia de Natal.
O especialista alerta sobre algumas limitações do código na utilização do PoC, uma vez que pode não funcionar em determinados CPUs, p.e.x, ele não irá funcionar em CPUs com um único core.
Ele também acrescentou que pode levar algum tempo para acionar o issue porque ele depende de uma race condition e outras operações a rodarem em simultaneo podem influenciar o resultado.
Esta PoC tem a capacidade de desativar a solução endpoint-protection dos antivírus nas máquinas alvo.
“You can also use it to perhaps disable third-party AV software,” the expert explained.
This latest 0day from SandboxEscaper requires a lot of patience to reproduce. And beyond that, it only *sometimes* overwrites the target file with data influenced by the attacker. Usually it’s unrelated WER data.https://t.co/FnqMRpLy77 pic.twitter.com/jAk5hbr46a
— Will Dormann (@wdormann) December 29, 2018
Por outro lado, já os especialistas da BleepingComputer apontaram que o exploit também pode causar uma condição de DoS.
“Since the target is ‘pci.sys,’ SandboxEscaper’s PoC can cause a denial-of-service on the machine, from a user that does not have administrative privileges. ‘Pci.sys’ a system component necessary for correctly booting the operating system, since it enumerates physical device objects.” reads a blog post published on BleepingComputer.
O investigador SandboxEscaper disse que comunicou o bug para o Microsoft Security Response Center (MSRC) depois de publicar o PoC na Internet.
Como mencionado, não é a primeira nem a segunda vez que o autor da descoberta publica provas de conceitos desta natureza.
Já em dezembro deste ano, o investigador lançou um exploit que permitia a leitura de ficheiros arbitrários e que podia ser explorada por utilizadores com poucos privilégios no sistema de forma a ler conteúdo de qualquer sistema do Windows.
Investigador SandboxEscaper divulga a terceira vulnerabilidade zero-day no Windows em poucos meses
Em outubro, o SandboxEscaper lançou o código de exploração de prova de conceito do Microsoft Data Sharing que permitia que um utilizador com poucos privilégios excluísse ficheiros críticos do sistema.
Vulnerabilidade zero-day ‘Deletetbug’ permite escalonamento de privilégios no Windows
Em agosto, lançou o exploit PoC para uma falha de escalonamento de privilégios local no Agendador de Tarefas do Microsoft Windows.
Zero-day vulnerability do Windows 10 foi divulgada no Twitter
One Reply to “SandboxEscaper lança novo PoC para a quarta vulnerabilidade zero-day no Windows”