Hacker divulgó 4 nuevos exploits para vulnerabilidades Zero-Day que afectan a Microsoft
Menos de 24 horas después de revelar públicamente una vulnerabilidad de día cero (zero-day) sin parches en Windows 10 , el hacker anónimo que se encuentra en línea con el alias de “SandboxEscaper” ahora ha lanzado nuevos exploits para otras dos vulnerabilidades de día cero de Microsoft sin parches.
Las dos nuevas vulnerabilidades zero-day afectan al servicio de Informes de errores de Windows de Microsoft e Internet Explorer 11.
Justo ayer, mientras se lanzaba un exploit de día cero de Windows 10 para un bug local de escalada de privilegios en la utilidad del Programador de tareas, SandboxEscaper afirmó haber descubierto cuatro errores más de día cero; para dos de estos ya fueron lanzados los exploits públicamente.
AngryPolarBearBug2
Una de las vulnerabilidades más recientes de Microsoft de día cero reside en el servicio de Informe de errores de Windows que puede explotarse mediante una operación de lista de control de acceso discrecional (DACL), un mecanismo que identifica a los usuarios y grupos que tienen asignados o denegados permisos de acceso a un objeto asegurable.
Si se logra una explotación exitosa, un atacante puede eliminar o editar cualquier archivo de Windows, incluidos los ejecutables del sistema, que de lo contrario solo puede hacer un usuario privilegiado.
El hacker ha denominado esta vulnerabilidad como AngryPolarBearBug2, la vulnerabilidad es la sucesora de una vulnerabilidad anterior del servicio de Informe de errores de Windows que se encontró el año pasado, que se llamó AngryPolarBearBug y permitía que un atacante local sin privilegios sobrescribiera cualquier archivo elegido en el sistema.
Sin embargo, como dice SandboxEscaper, esta vulnerabilidad no es muy fácil de explotar, y “puede tardar más de 15 minutos para que se active el error”.
“Supongo que un atacante más decidido podría ser más confiable”, dijo el hacker. “Es solo una ventana increíblemente pequeña en la que podemos ganar nuestra carrera; ni siquiera estaba seguro de poder explotarla”.
Evasión de la SandBox de Internet Explorer
La segunda vulnerabilidad zero-day de Microsoft revelada hoy por SandboxEscaper afecta al navegador web de Microsoft, Internet Explorer 11 (IE11).
Aunque el post sobre la vulnerabilidad no contiene ningún detalle sobre esta falla, una demostración en video lanzada por el hacker muestra que existe una vulnerabilidad debido a un error cuando el navegador vulnerable maneja un archivo DLL creado con fines malintencionados.
Esto eventualmente permitiría a un atacante eludir la sandbox del modo protegido de IE y ejecutar código arbitrario con permisos de integridad media.
Aunque las tres vulnerabilidades sin parche zero-day que SandboxEscaper lanzó en las últimas 24 horas no son críticas, el usuario puede esperar actualizaciones de seguridad de Microsoft el 11 de junio, el parche del próximo mes de la compañía.
SandboxEscaper tiene un historial de lanzamiento de vulnerabilidades de día cero totalmente funcionales en el sistema operativo Windows.
En agosto pasado, debutó con otra vulnerabilidad del Programador de tareas de Windows en Twitter, que los hackers rápidamente comenzaron a explotar en la naturaleza en una campaña de espionaje después de la divulgación.
Más tarde, en octubre de 2018, el hacker lanzó un exploit para una vulnerabilidad de día cero en el Servicio de intercambio de datos de Microsoft (dssvc.dll), que denominó “Deletebug”.
En diciembre de 2018, lanzó dos vulnerabilidades más de día cero en el sistema operativo Windows.
Puedes esperar otras dos vulnerabilidades de día cero de Microsoft de SandboxEscaper en los próximos días, ya que este prometió publicarlas.
Actualización importante: dos vulnerabilidades zero-day más publicadas
Gal De Leon, un reconocido investigador de seguridad en Palo Alto Networks,reveló en un Tweet que el bug AngryPolarBearBug2 no es un día cero; en su lugar, ya ha sido parcheado y ha sido identificado como CVE-2019-0863 por Microsoft en las actualizaciones de seguridad, esto como parte del martes de parche de mayo de 2019.
Sin embargo, SandboxEscaper acaba de lanzar exploits de PoC para dos nuevas vulnerabilidades de día cero no parcheadas en Microsoft Windows, lo que hace que la divulgación de zero-day sumen un total de 4 en las últimas 24 horas.
El primer exploit evade el parche que Microsoft lanzó para una vulnerabilidad de elevación de privilegios (CVE-2019-0841) en Windows, que existía cuando el Servicio de implementación de Windows AppX (AppXSVC) maneja incorrectamente los enlaces duros.
SandboxEscaper ha etiquetado otro repositorio en GitHub, al cual ha denominado como “Installer Bypass”
Aunque el hacker ha lanzado una demostración en video de ambos bugs, los investigadores de seguridad todavía tienen que confirmar las afirmaciones.