编译:奇安信代码卫士团队

安全研究员兼利用代码卖家SandboxEscaper 今天连续第三天放出Windows 0day。

她在 GitHub 账户上不仅公开了昨天承诺放出的俩 Windows 0day PoC,还公布了如何使用这两个利用的简短说明。

加上这两个0day,SandboxEscaper 已经在过去的10个月中放出了9个 Windows 0day!

简要回顾一下,她已经放出了:

  1. Windows Task Scheduler 进程中的一个 LPE 利用
  2. IE 11的沙箱逃逸漏洞
  3. Windows 出错报告服务中的一个 LPE(从技术角度讲,它不算0day。因为在 SandboxEscaper 发布演示 PoC 之前,微软已将其修复。)
  4. 高阶本地程序调用 (ALPC) 中的 LPE
  5. 微软数据分享 (dssvc.dll) 中的 LPE
  6. ReadFile 中的 LPE
  7. Windows 出错报告系统中的 LPE

其中前3个是本周发布的,而后4个是去年发布的。

今天放出的两个 0day 如下:
CVE-2019-0841 绕过
这个0day 可被用于绕过微软当前发布的 CVE-2019-0841 补丁。CVE-2019-0841可导致权限用户通过覆写目标文件上的权限劫持 NT AUTHORITYSYSTEM 所拥有的文件。微软证实的率先发现这个漏洞的研究员 Nabeel Ahmed(所属公司 Dimension Data Belgium)指出,如被成功利用,低权限用户可借此获得“完全控制”权限。

微软在上个月的补丁星期二中修复了这个漏洞,表示它产生的原因在于 Windows AppX Deployment 服务 (AppXSVC) 处理硬链接的方式不当。

SandboxEscaper 发布的利用代码指出,虽然微软打了补丁,但仍然存在利用 CVE-2019-0841的一种方法。

需要说明一点,这是另外一个本地权限提升 (LPE) 漏洞,也就是说黑客无法借此入侵系统,但可获得对计算机的完全访问权限,即使入侵点只是一个低权限账户。

针对 WindowsInstaller 文件夹的 0day
SandboxEscaper 发现的第二个 0day 针对的是 Windows Installer 文件夹 (C:WindowsInstaller)。

SandboxEscaper 在一个 GitHub 文件中解释称,在修复 Windows app 安装程序时存在短暂的时间间隔(竞争条件),这时即可劫持进程将文件写入 Windows OS 的未授权区域。

该漏洞滥用的是 msiexec/fa (Repair Installation) 操作,可被用于植入恶意软件并控制黑客最初仅获得对低权限账户访问权限的计算机。

多数研究人员认为 SandboxEscaper昨天公布的0day 没有作用,但今天公布的这两个 0day 在实际的恶意软件攻击活动中作用更大。SandboxEscaper 确实提到,今天发布的第二个 0day 可能会有一些不稳定,因为这个 0day 利用易受攻击计算机的时间窗口期较短。

我们将关注微软回应以及后续进展。