Mysterieuze ‘SandBoxEscaper’ geeft opnieuw Microsoft-exploit-code vrij

De onbekende serie-uitgever van Microsoft-kwetsbaarheden genaamd SandBoxEscaper heeft deze week de exploit-code vrijgegeven van drie ongepatchte fouten. Dit brengt het totaal van het aantal vrijgegeven exploits door SandBoxEscaper dit jaar op zeven.

Volgens Ars Technica publiceerde de onbekende persoon afgelopen dinsdag een kwetsbaarheid met betrekking tot lokale privileges en escalatie in de Windows Task Scheduler. De fout stelt een aanvaller in staat om systeemprivileges te verkrijgen op een getroffen systeem. Volgens SandBoxEscaper werkt de kwetsbaarheid van de taakplanner door een fout te exploiteren. Dit gebeurt in de manier waarop de taakplanner wijzigingen in de machtigingen voor toegangsbeheer voor een afzonderlijk bestand verwerkt. US Cert bevestigt dat de exploit werkt tegen zowel de 32-bits als de 64-bits versie van Windows 10.

Donderdag publiceerde de serie-uitgever een escalatiecode met bevoegdheden, die een bug in de Windows Error Reporting -service misbruikt. Aanvallers zouden dit kunnen gebruiken om bestanden aan te passen die normaal gesproken ontoegankelijk zijn. 

Bovendien gaf deze persoon ook nog een derde exploit-code vrij, die zich richt op Internet Explorer 11. Deze exploit stelt aanvallers in staat om een JavaScript uit te voeren, die met een hogere systeemtoegang wordt uitgevoerd dan normaal door de browser-sandbox is toegestaan. ​​De drie recente aanvallen staan kwaadwillenden echter niet toe om op afstand een kwaadaardige code uit te voeren. Iets dat zich kenmerkt voor alles wat SandboxEscaper het afgelopen jaar heeft gepubliceerd.

Omzeilen beveiligingssandboxen

De waarde van dit soort exploits is toegenomen, omdat de beveiligingsmaatregelen in recente versies van Windows en andere besturingssystemen zijn verbeterd. Dit gezien ze vaak de enige manier zijn om beveiligingssandboxen en soortgelijke beveiligingen te omzeilen. Onthullingen zijn dan ook aanzienlijk, als ze zich inderdaad, zoals beweerd, richten tegen volledig gepatchte versies van Windows 10.

“Elke nieuwe privilege-escalatie op native Windows 10 is een redelijk goede deal. Kwetsbaarheden doen zich namelijk voor bij applicaties, die boven op het besturingssysteem worden geplaatst. Niet in het besturingssysteem zelf”, aldus beveiligingsonderzoeker Charles Dardaman. “Als een aanvaller een RCE of een andere manier had, zoals phishing, die op laag niveau toegang gaf tot een machine, konden ze een van deze aanvallen gebruiken om te escaleren naar Admin.”

Chrome-browser

Google meldde eerder in april ook al dat een toenmalige niet-gepatchte privilege-escalatie in oudere versies van Windows gebruikt werd in een niet-gerelateerde exploit in de Chrome-browser. Ingebouwde verdedigingsmaatregelen in zowel Windows en Chrome voorkwamen verdere schade. Toch wisten hackers door de exploits op afstand malware van hun keuze uit te voeren. Dardaman vermoedt dat de twee privilege-escalatie-kwetsbaarheden, die SandboxEscaper de afgelopen 24 uur heeft gepubliceerd, waarschijnlijk vergelijkbare mogelijkheden bieden in combinatie met de juiste extra exploit.

 

Gerelateerd:  Zero-day in Internet Explorer geeft toegang tot bestanden op Windows