Sikkerhed forsker SandboxEscaper har frigivet detaljerne i CVE-2019-0841, en anden zero-day påvirker Windows 10 og Windows Server 2019. Detaljerne er blevet offentliggjort på GitHub og er nu tilgængelige i den samme konto med de tidligere beskrevne otte nul-dage.
Sagen om CVE-2019-0841
Ifølge Microsofts rådgivende, dette er en udvidelse af rettigheder, sårbarhed, som eksisterer, når Windows appx Installationsservice (AppXSVC) forkert håndterer hårde links. En hacker, som det lykkes at udnytte denne sårbarhed, kan køre processer i en forhøjet kontekst. En hacker kunne derefter installere programmer, og udsigt, ændre eller slette data.
Faktisk, dette er den anden bypass forskeren offentliggjort vedrørende denne sårbarhed. Den første bypass for CVE-2019-0841 blev offentliggjort om en uge siden.
Succesfuld udnyttelse kan føre til at opnå fuld kontrol tilladelser for lave privilegerede brugere, som forklaret af sikkerhed forsker Nabeel Ahmed af Dimension Data Belgium, der blev krediteret af Microsoft for at opdage sårbarheden.
Microsoft rettet fejlen i april 2019 Patch tirsdag. Men da det viser sig, der er en anden teknik, der gør det muligt for trussel aktører til at omgå de rettelser for at tillade en lav-privilegeret hacker at kapre filer over, som de tidligere ikke havde kontrol. Her er hvordan dette kan ske.
Sidste måned, vi skrev om et nul-dag beliggende i Opgavestyring som giver brugerne mulighed for automatisk at udføre rutineopgaver på deres maskiner. Fejlen udnytter den såkaldte SchRpcRegisterTask, en komponent i Opgavestyring som registrerer opgaver med serveren. Det fremgår, at komponenten ikke korrekt kontrollere for tilladelser og kan udnyttes til at sætte en vilkårlig DACL (liste kontrol skønsmæssig adgang) tilladelse. Det var SandboxEscaper igen der offentliggjorde proof-of-concept-kode på GitHub.