Le chercheur en sécurité SandboxEscaper a publié les détails de CVE-2019-0841, un autre jour zéro affectant Windows 10 et Windows Server 2019. Les détails ont été publiés sur GitHub et sont maintenant disponibles dans le même compte avec les huit zéro jours auparavant divulgués.
Le cas de CVE-2019-0841
Selon le conseil de Microsoft, c'est une vulnérabilité d'élévation de privilèges qui existe lorsque le service de déploiement de Windows AppX (AppXSVC) ne gère pas correctement des liens durs. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter des processus dans un contexte élevé. Un attaquant pourrait alors installer des programmes, et vue, modifier ou supprimer des données.
En fait, c'est la deuxième dérivation le chercheur a publié au sujet de cette vulnérabilité. La première dérivation pour CVE-2019-0841 a été publié il y a environ une semaine.
Une exploitation réussie pourrait conduire à l'obtention d'autorisations de contrôle total pour les faibles utilisateurs privilégiés, comme l'a expliqué le chercheur en sécurité Nabeel Ahmed de Dimension Data Belgium, qui a été crédité par Microsoft pour découvrir la vulnérabilité.
Microsoft a résolu le bug en Avril 2019 Patch Tuesday. Mais comme il se trouve, il y a une seconde technique qui permet aux acteurs de la menace de contourner les correctifs pour permettre à un attaquant à faible privilège de pirater des fichiers sur lesquels ils ne contrôlaient pas auparavant. Voici comment cela peut se produire.
Le mois dernier, nous avons écrit au sujet d'un zéro situé jours dans Planificateur de tâches qui permet aux utilisateurs d'effectuer automatiquement des tâches de routine sur leurs machines. La faille exploite la soi-disant SchRpcRegisterTask, un composant Planificateur de tâches qui enregistre les tâches avec le serveur. Il semble que le composant ne vérifie pas correctement les permissions et peut être exploitée pour une DACL arbitraire (liste de contrôle d'accès discrétionnaire) autorisation. Ce fut à nouveau SandboxEscaper qui a publié la preuve de concept de code sur GitHub.