Der anonyme Hacker SandboxEscaper hat am 7.6. eine fünfte Schwachstelle (CVE-2019-084 bypassing) in Windows 10/Windows Server und ein Proof of Concept (PoC) auf GitHub veröffentlicht. Das war zu kurz, damit Microsoft diese Schwachstelle am 11. Juni 2019 patchen konnte.
Anzeige
Kleiner Rückblick: Vier 0-day-Exploits
Der anonyme Hacker SandboxEscaper hat bereits mehrere Schwachstellen im Windows Task-Scheduler aufgedeckt (siehe Artikelliste am Textende). Der Hacker hat die Angewohnheit, Microsoft nicht vorab über diese Schwachstellen zu informieren. Letztmalig hatte ich im Beitrag Windows 10: Neue 0-day-Schwachstellen mit PoC über weitere offengelegte Schwachstellen (teilweise 0-day Exploits) für die es keine Patches gibt, berichtet.
Microsoft patcht 4 Lücken am 11. Juni 2019
Auf Grund der Berichterstattung war Microsoft in der Lage, vier dieser gemeldeten Schwachstellen mit Sicherheitsupdates im Mai und im Juni zu schließen.
- CVE-2019-0863: Rechteausweitung in Fehlerberichterstattung WER; Lücke wurde im Mai 2019 gepatcht, siehe Microsoft Security Update Releases/Revisionen Mai 2019
- CVE-2019-1069: Rechteausweitung im Task-Scheduler; im Juni 2019 gepatcht
- CVE-2019-1053: Windows Shell Elevation of Privilege-Schwachstelle; Ausbruch aus (IE) Sandbox; im Juni 2019 gepatcht
- CVE-2019-1064: Windows Elevation of Privilege-Schwachstelle in Windows AppX Deployment Service (AppXSVC); im Juni 2019 gepatcht
- CVE-2019-0973: Windows Installer Elevation of Privilege-Schwachstelle; im Juni 2019 gepatcht
Der Hacker hat die jeweiligen Schwachstellen, die er gefunden hat, in seinem Blog dokumentiert. Ich habe es mal in nachfolgendem Screenshot dokumentiert, da SandboxEscaper häufiger seine Posts und Webseiten offline nimmt oder löscht.
Die fünfte Schwachstelle CVE-2019-0841-Bypass
Am Freitag, den 7. Juni 2019 veröffentlichte SandboxEscaper dann einen weiteren 0-day-Exploit auf GitHub – wobei diese Seite mittlerweile wieder verschwunden ist (hier eine Archivversion). Auf Twitter findet man noch Meldungen.
ByeBear – (CVE-2019-0841) New second 0day LPE Bug by SandboxEscaper
SandboxEscaper Discloses Second 0-Day to Bypass Patch for Windows EoP Flaw.https://t.co/e5W8h2bWDu
— (@0x2AE) 7. Juni 2019
ZDnet.com berichtete bereits Freitag über diese Schwachstelle. Dort sind auch die Details zur Schwachstelle zu finden. Ein verlinktes Video zeigt das Proof of Concept (PoC).
Anzeige
Here's a demo of the PoC SandboxEscaper shared today on GitHub pic.twitter.com/gcUqUBU57Y
— Catalin Cimpanu (@campuscodi) 7. Juni 2019
Microsoft konnte diese Schwachstelle nicht mehr rechtzeitig patchen. Heise hat es in diesem deuchtsprachigen Artikel aufgegriffen; es handelt sich um einen weiteren Ansatz, um die im April 2019 bereits gepatchte Schwachstelle CVE-2019-0841. Mal schauen, wann Microsoft da mit einem Sicherheitsupdate herauskommt – im April 2019 wurde die ursprüngliche Schwachstelle von Microsoft bereits als 'unwahrscheinlich auszunutzen' eingestuft.
Ähnliche Artikel:
Windows 10 Zero-Day-Exploit in Microsoft Data Sharing
Neue Windows 0-day-Schwachstelle (20.12.2018)
Windows 10: 0-Day Bug ermöglicht Dateien zu überschreiben
Windows 0-Day File-Write-Bug bekommt temporären Fix
Windows ALPC-Schwachstelle (CVE-2018-8440) in Exploit-Kit
Windows ALPC 0-day-Lücke wird durch Malware ausgenutzt
Neue Windows ALPC Zero-Day-Schwachstelle entdeckt
Windows 10: Neue 0-day-Schwachstellen mit PoC
2015
