SandboxEscaper é um poço de surpresas. Hoje este investigador de segurança divulgou um segundo exploit zeroday do Windows (apelidado de ByeBear) para fazer o bypass de uma vulnerabilidade de elevação de privilégios já corrigida pela Microsoft.
SandboxEscaper é conhecido por divulgar publicamente vários exploits de dia zero para vulnerabilidades do Windows sem correção. No final de maio, ele divulgou quatro falhas da Microsoft em apenas 24 horas.
Relativamente a esta falha, a correção da Microsoft não resolveu completamente o problema, porque agora SandboxEscaper desenvolveu um novo exploit para acionar a falha que ignora por completo o patch de segurança que a Microsoft libertou.
Investigadores explicaram que uma app maliciosa e especialmente criada poderia ser usada para escalar privilégios e assumir o controlo total da máquina Windows.
Fica em seguida o PoC do ByeBear que abusa do navegador Microsoft Edge para gravar a lista de controlo de acesso discricionária (DACL) como privilégio de SYSTEM.
It’s going to increase the thread priority to increase our odds of winning the race condition that this exploits. If your VM freezes, it means you either have 1 core or set your VM to have multiple processors instead of multiple cores… which will also cause it to lock up,” wrote SandboxEscaper.
“This bug is most definitely not restricted to the edge. This will be triggered with other packages too. So you can definitely figure out a way to trigger this bug silently without having edge pop up. Or you could probably minimize edge as soon as it launches and closes it as soon as the bug completes.”
“I think it will also trigger by just launching edge once, but sometimes you may have to wait for a little. I didn’t do extensive testing…found this bug and quickly wrote up a PoC, took me like 2 hours total, finding LPEs is easy.”