O pesquisador de segurança SandboxEscaper divulgou os detalhes da CVE-2019-0841, outro zero-day que afeta o Windows 10 e Windows Server 2019. Os detalhes foram publicados no GitHub e estão agora disponíveis na mesma conta com as anteriormente divulgadas oito zero-dias.
O Caso CVE-2019-0841
De acordo com o conselho da Microsoft, esta é uma vulnerabilidade de elevação de privilégio que existe quando o Windows AppX Deployment Service (AppXSVC) lida indevidamente com links físicos. Um invasor que explorar com êxito esta vulnerabilidade pode executar processos em um contexto elevado. Um intruso poderia então instalar programas, e ver, dados alterar ou apagar.
De fato, este é o segundo desvio que o pesquisador publicou sobre esta vulnerabilidade. O primeiro desvio para CVE-2019-0841 foi publicado há cerca de uma semana.
A exploração bem-sucedida pode levar à obtenção de permissões de controle total para usuários com poucos privilégios, conforme explicado pelo pesquisador de segurança Nabeel Ahmed da Dimension Data Belgium, que foi creditado pela Microsoft por descobrir a vulnerabilidade.
Microsoft corrigiu o bug em abril 2019 patch Tuesday. Mas ao que parece, há uma segunda técnica que permite que os agentes da ameaça contornem as correções para permitir que um invasor com poucos privilégios sequestre arquivos sobre os quais eles não tinham controle anteriormente. aqui está como isso pode acontecer.
Mês passado, escrevemos sobre um dia zero localizado no Agendador de tarefas que permite aos usuários executar tarefas de rotina automaticamente em suas máquinas. A falha explora a chamada SchRpcRegisterTask, um componente no Agendador de Tarefas que registra tarefas com o servidor. Parece que o componente não verifica as permissões corretamente e pode ser explorado para definir um DACL arbitrário (lista de controle de acesso discricionário) permissão. Foi SandboxEscaper novamente quem publicou o código de prova de conceito no GitHUb.