Security-onderzoeker SandboxEscaper heeft de details van CVE-2019-0841 uitgebracht, een andere zero-day beïnvloeden Windows 10 en Windows Server 2019. De gegevens zijn gepubliceerd op GitHub en zijn nu beschikbaar in dezelfde rekening met de eerder beschreven acht zero-dagen.
De zaak van CVE-2019-0841
Volgens Microsoft's adviserende, dit is een misbruik van bevoegdheden die bij Windows appx Implementatieservice bestaat (AppXSVC) onjuist verwerkt harde koppelingen. Een aanvaller die dit beveiligingslek, kan processen in een verhoogde context lopen uitgebuit. Een aanvaller kan vervolgens programma's installeren, en uitzicht, wijzigen of verwijderen van gegevens.
In feite, dit is de tweede ringweg van de onderzoeker gepubliceerd met betrekking tot dit beveiligingslek. De eerste bypass voor CVE-2019-0841 werd gepubliceerd ongeveer een week geleden.
Succesvolle exploitatie zou kunnen leiden tot het verkrijgen van volledige controle over toestemmingen voor laag privileged users, zoals uitgelegd door security-onderzoeker Nabeel Ahmed van Dimension Data België, die werd gecrediteerd door Microsoft voor het ontdekken van de kwetsbaarheid.
Microsoft sprak de bug in april 2019 Patch Tuesday. Maar als het blijkt, Er is een tweede techniek die het mogelijk maakt bedreiging actoren om de oplossingen te omzeilen om een low-bevoorrechte aanvaller om bestanden te kapen waarover zij eerder niet controle. Hier is hoe dit kan gebeuren.
Vorige maand, schreven we over een zero-day in Taakplanner die gebruikers in staat stelt om routinetaken automatisch uit te voeren op hun machines. De fout maakt gebruik van de zogenaamde SchRpcRegisterTask, een component taakplanner welke taken ligt met de server. Het blijkt dat de component niet goed controleert toestemmingen en kan worden benut om een willekeurige set DACL (discretionaire Access Control List) toestemming. Het was SandboxEscaper weer die de proof-of-concept code op GitHub gepubliceerd.