SandboxEscaper veröffentlicht den gepatchten Bypass CVE-2019-0841

SandboxEscaper, ein Cybersicherheitsforscher, hat kürzlich die Details von CVE-2019-0841 veröffentlicht. Es wurde auf GitHub mit den zuvor veröffentlichten acht Nulltagen veröffentlicht, die Windows 10 und Windows Server 2019 betreffen.

Wir haben letzten Monat über diese Zero-Day-Sicherheitsanfälligkeit im Taskplaner berichtet. Der Fehler ermöglicht es Benutzern, Routineaufgaben auf ihren Computern automatisch auszuführen. Die Fehler-Exploits in der Task Scheduler-Komponente mit dem Namen SchRpcRegsiterTask ermöglichen die Registrierung der Aufgabe beim Server. Aufgrund des Fehlers wurde eine beliebige DACL festgelegt, bei der es sich um eine diskretionäre Zugriffssteuerungslistenberechtigung handelt. Daher wurde die ordnungsgemäße Prüfung auf Berechtigungen nicht durchgeführt.

CVE-2019-0841 Fall

CVE-2019-0841 Sicherheitsanfälligkeit besteht. Festplatten werden vom Windows AppX-Bereitstellungsdienst (AppXSVC) nicht ordnungsgemäß gehandhabt. Dieser Exploit führt dazu, dass ein Angreifer einen Prozess in einem erhöhten Kontext erfolgreich ausführt, der es ihm ermöglicht, verschiedene Programme zu installieren und die gespeicherten Daten zu ändern und zu löschen.

Microsoft Security Advisory besagt, dass diese Sicherheitsanfälligkeit Benutzern mit geringen Rechten das Entführen von Dateien ermöglicht, deren Eigentümer NT AUTHORITY \ SYSTEM ist, indem die Berechtigung für die Zieldatei überschrieben wird.

Der Cybersicherheitsforscher Nabeel Ahmed von Dimension Data Belgium gibt an, dass die Sicherheitsanfälligkeit es einem Angreifer ermöglicht, die Vollzugriffsberechtigung für Benutzer mit geringen Rechten zu erhalten.

Microsoft hat am Dienstag den Fehler im April 2019 behoben. SandboxEscaper gab bekannt, dass es eine andere Möglichkeit gibt, die Sicherheitsanfälligkeit CVE-2019-0841 zu umgehen und es dem Angreifer mit geringen Rechten zu ermöglichen, Dateien zu hijacken, über die er zuvor keine Kontrolle hatte. Es gibt noch eine weitere Sicherheitsanfälligkeit in Bezug auf die Eskalation von LPE- oder lokalen Berechtigungen, die von Hackern nicht ausgenutzt werden kann. Sie können sie jedoch verwenden, um auf eine Reihe von Dateien zuzugreifen, über die sie normalerweise keine Kontrolle haben.

Der SandboxEscaper verwendet jedoch heute eine neuartige Technik. Es gibt jedoch einige einfachere und schnellere Möglichkeiten, um unter Windows die lokalen Berechtigungen zu erhöhen. Der Forscher versprach, Details an einem weiteren Zero-Day in den kommenden Tagen zu veröffentlichen.