SandboxEscaper ujawnia kolejny exploit „ByeBear” omijający wydaną przez Microsoft łatę w zabezpieczeniach Windows 10!

Exploit ByeBear

Tak się nazwa nowy exploit sandboxescaper’a jaki pokazał na filmie demonstrującym jego działanie w sieci. Osoba atakująca, której uda się wykorzystać tę lukę (CVE-2019-0841), może uruchamiać procesy w podwyższonym kontekście. Konsekwencją tego jest umożliwienie cyberprzestępcy instalację szkodliwego oprogramowania, wyświetlanie, zmianę lub usuwanie danych na Windows 10.

Scenariusz ByeBear

SanboxEscaper w swoich publikacjach wyjaśnia, że luka może zostać wyzwolona poprzez usunięcie wszystkich plików i podfolderów w lokalizacji przeglądarki Edge, gdzie wskazuje poniższa ścieżka:

„c:\users\%username%\appdata\local\packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\”

Aby cały scenariusz zadziałał, w pierwszym kroku musimy wykonać proces usuwania plików na koncie użytkownika lokalnego. Po nim musimy uruchomić przeglądarkę Edge, która powinna zakończyć swoje uruchomienie awarią. Następnie powinniśmy ponownie uruchomić Edge’a co spowoduje eskalację uprawnień i zapisanie listy kontroli dostępu (DACL) z na uprawnieniach konta „SYSTEM” na dowolnym pliku jaki wskażemy w exploit.

Sandboxer zamieścił w sieci wideo z demo ByeBear. Jego exploit zmienia uprawnienia na pliku „win.ini”, lecz istnieje możliwość wykonania takiej zmiany na innym dowolnym pliku Windows, dzięki czemu użytkownik może uzyskać pełny dostęp do najważniejszych plików systemu operacyjnego Windows.

Postaraliśmy się również sprawdzić działanie exploit’a w naszym LABie i na naszym najnowszym Windows 10 (wydanie 1903) z wszystkimi ostatnimi aktualizacjami. Poniżej przedstawiamy wideo.

Jak sobie radzić z problemem?

Podobno to jeszcze nie koniec publikacji kolejnych zero-day przez sandboxescaper’a. Jak zapowiada na swoim blogu posiada jeszcze jeden zero-day, którego wkrótce opublikuje. Jeśli tak będzie, postaramy się Was o tym poinformować. Na chwilę obecna zalecamy:

• Wzmocnienie systemów kontroli bezpieczeństwa na końcówkach.
• Monitorowanie uruchamianych procesów, logowań użytkowników.
• Uważanie na wszelkiego typu ataki phishingowe na pracowników w firmie, gdyż za ich pomocą cyberprzestępcy atakują najczęściej komputery.
• Monitorowanie zmiany uprawnień na plikach systemowych.

Istotną informacją jest to, że atak na komputer powiedzie się wtedy, gdy atakujący najpierw zaloguje się do systemu jako zwykły lokalny użytkownik, a następnie uruchomi exploit w celu obejścia luki i przejęcia kontroli nad zagrożonym systemem.

Z niecierpliwością oczekujemy na kolejne kulminacyjne wydanie cyklicznych łatek do systemów przez firmę Microsoft. Następny termin to wtorek 11 czerwca! Ciekawe czy Microsoft potwierdzi cztery poprzednie exploity sandboxescaper’a oraz opublikuje poprawki bezpieczeństwa.