SandboxEscaper findet eine weitere Möglichkeit, einen im April veröffentlichten Patch zu umgehen. In einem Video zeigt sie, wie sich ihr Beispielcode nutzen lässt, um Systemdateien zu löschen. In den kommenden Tagen will sie einen weiteren Bug enthüllen.
Die Sicherheitsforscherin SandboxEscaper, die zuletzt mehrfach Anfälligkeiten in Windows öffentlich gemacht hat, hat erneut eine Zero-Day-Lücke im Microsoft-Betriebssystem entdeckt. Betroffen sind diesmal offenbar ausschließlich Windows 10 und Windows Server 2019. Ein Angreifer könnte die Schwachstelle nutzen, um höhere Rechte als die des angemeldeten Benutzers zu erlangen.
Konkret handelt es sich einem inzwischen wieder gelöschten Eintrag auf GitHub zufolge um einen weiteren Bypass für einen von Microsoft im April veröffentlichten Patch für die Anfälligkeit mit der Kennung CVE-2019-0841. Sie beruht darauf, dass der Windows Appx-Bereitstellungsdienst „feste Links nicht ordnungsgemäß verarbeitet“. Das soll es einem Angreifer erlauben, Prozesse mit erweiterten Berechtigungen auszuführen, um beispielsweise Programme zu installieren oder Daten auszulesen, zu ändern oder gar zu löschen.
Der Proof-of-Concept von SandboxEscaper sieht vor, dass Teile des Installationspakets von Edge gelöscht werden. Als Folge soll der Browser beim nächsten Start abstürzen. Wird er danach erneut gestartet, erstellt er die zuvor gelöschten Dateien neu und übernimmt dafür System-Rechte. In einem Video zeigt die Forscherin zudem, dass Sie anschließend trotz eigentlich eingeschränkter Benutzerrechte in der Lage ist, die Systemdatei „win.ini“ im Windows-Verzeichnis zu löschen.
SandboxEscaper geht davon aus, dass sich der PoC auch auf andere Windows-Anwendungen übertragen lässt. Zudem sei es wahrscheinlich möglich, den Schadcode so zu verbessern, dass eine Anwendung wie Edge im Hintergrund beziehungsweise nicht sichtbar für den Nutzer geöffnet wird. „Ich habe das nicht ausgiebig getestet. Habe den Fehler gefunden und schnell einen PoC geschrieben, wofür ich zwei Stunden benötigt habe.“
Insgesamt veröffentlichte die Forscherin bisher neun Zero-Day-Lücken in Microsoft-Produkten – Microsoft informierte sie jeweils nicht vorab über ihre Erkenntnisse. Für einige der Schwachstelle dürft Microsoft heute Abend neue Patches bereitstellen. In den kommenden Tagen will SandboxEscaper jedoch mindestens eine weitere Zero-Day-Lücke enthüllen.