Przez ostatnie dwa tygodnie wieści z Microsoftu nie rozpieszczały klientów poczuciem bezpieczeństwa, a raczej jak domki z kart padały kolejne zabezpieczenia systemu operacyjnego Windows. Oprócz wykrytych dwóch luk: pierwszej RCE Bluekeep i drugiej CVE-2019-9510 dotyczących protokołu RDP, doszły nam kolejne. Ostatnim hitem są dziury zero-day opublikowane w sieci przez słynnego, acz anonimowego hackera o pseudonimie SandboxEscaper. O jego dokonaniach na przestrzeni ostatniego czasu pisaliśmy tutaj. W zeszły piątek anonimowy haker powrócił i opublikował w sieci kolejny kod exploit’a (kod został już usunięty z repozytorium GitHub), który wykorzystuje załataną już w kwietniu przez Microsoft podatność (CVE-2019-0841) – luka w eskalacji uprawnień lokalnych (ang. Local Privilege Escalation) znajdującej się w Windows 10. Na chwilę obecną jest to już drugi zero-day, który wykorzystuje podatność CVE-2019-0841.
Opisywana luka w zabezpieczeniach dotyczy podniesienia uprawnień występuje w sytuacji, w której usługa wdrażania aplikacji Windows AppX (AppXSVC) nieprawidłowo obsłuży twarde powiązania/odnośniki (ang. hard links). Haker twierdzi, że znalazł nowy sposób na ominięcie ostatniej poprawki zabezpieczeń Microsoftu dla tej samej luki, pozwalając specjalnie spreparowanej złośliwej aplikacji na eskalację uprawnień i przejęcie pełnej kontroli nad załatanym komputerem z systemem Windows 10.
Exploit ByeBear
Tak się nazwa nowy exploit sandboxescaper’a jaki pokazał na filmie demonstrującym jego działanie w sieci. Osoba atakująca, której uda się wykorzystać tę lukę (CVE-2019-0841), może uruchamiać procesy w podwyższonym kontekście. Konsekwencją tego jest umożliwienie cyberprzestępcy instalację szkodliwego oprogramowania, wyświetlanie, zmianę lub usuwanie danych na Windows 10.
Scenariusz ByeBear
SanboxEscaper w swoich publikacjach wyjaśnia, że luka może zostać wyzwolona poprzez usunięcie wszystkich plików i podfolderów w lokalizacji przeglądarki Edge, gdzie wskazuje poniższa ścieżka:
“c:\users\%username%\appdata\local\packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\”
Aby cały scenariusz zadziałał, w pierwszym kroku musimy wykonać proces usuwania plików na koncie użytkownika lokalnego. Po nim musimy uruchomić przeglądarkę Edge, która powinna zakończyć swoje uruchomienie awarią. Następnie powinniśmy ponownie uruchomić Edge’a co spowoduje eskalację uprawnień i zapisanie listy kontroli dostępu (DACL) z na uprawnieniach konta „SYSTEM” na dowolnym pliku jaki wskażemy w exploit.
Sandboxer zamieścił w sieci wideo z demo ByeBear. Jego exploit zmienia uprawnienia na pliku „win.ini”, lecz istnieje możliwość wykonania takiej zmiany na innym dowolnym pliku Windows, dzięki czemu użytkownik może uzyskać pełny dostęp do najważniejszych plików systemu operacyjnego Windows.
Postaraliśmy się również sprawdzić działanie exploit’a w naszym LABie i na naszym najnowszym Windows 10 (wydanie 1903) z wszystkimi ostatnimi aktualizacjami. Poniżej przedstawiamy wideo.
Jak sobie radzić z problemem?
Podobno to jeszcze nie koniec publikacji kolejnych zero-day przez sandboxescaper’a. Jak zapowiada na swoim blogu posiada jeszcze jeden zero-day, którego wkrótce opublikuje. Jeśli tak będzie, postaramy się Was o tym poinformować. Na chwilę obecna zalecamy:
- Wzmocnienie systemów kontroli bezpieczeństwa na końcówkach.
- Monitorowanie uruchamianych procesów, logowań użytkowników.
- Uważanie na wszelkiego typu ataki phishingowe na pracowników w firmie, gdyż za ich pomocą cyberprzestępcy atakują najczęściej komputery.
- Monitorowanie zmiany uprawnień na plikach systemowych.
Istotną informacją jest to, że atak na komputer powiedzie się wtedy, gdy atakujący najpierw zaloguje się do systemu jako zwykły lokalny użytkownik, a następnie uruchomi exploit w celu obejścia luki i przejęcia kontroli nad zagrożonym systemem.
Z niecierpliwością oczekujemy na kolejne kulminacyjne wydanie cyklicznych łatek do systemów przez firmę Microsoft. Następny termin to wtorek 11 czerwca! Ciekawe czy Microsoft potwierdzi cztery poprzednie exploity sandboxescaper’a oraz opublikuje poprawki bezpieczeństwa.