还记得去年曾放出4个 Windows 0day 的利用代码开发人员 SandboxEscaper 吗?这次,就在微软刚刚发布月度补丁星期二后的一周内,她在 GitHub 上又放出3个不重样的 Windows 0day PoC,而且承诺很快会放出另外两个!

Task Scheduler 本地权限提升 0day

最先放出的这个 0day 仍然存在于用于从其它系统中导入遗留任务的 Task Scheduler 工具中。在 Windows XP 还未遭弃用的时候,任务被放在 .JOB 格式中,而且仍可被添加至 Windows 操作系统新版本中。

Task Scheduler 导入的 JOB 文件具有人以 DACL(字典访问控制列表)控制权限。如无 DACL,系统授予用户对文件的完全访问权限。

SandboxEscaper 表示,可通过将遗留任务文件导入Windows 10 Task Scheduler 中的形式利用该 bug。运行从老旧系统复制的可执行文件的“schtasks.exe”和“schedsvc.dll”的命令可导致“_SchRpcRegisterTask”远程程序调用 (RPC) ,这个方法通过遭 Task Schedule 任务暴露的服务器注册任务。

SandboxEscaper 表示,“我认为要触发这个 bug,你仅需直接调用这个函数即可,而不必使用从 windowsxp 复制的 schtasks.exe。不过我在逆向方面也不擅长。”她还表示,当执行某个特定函数时,以有限权限开始结束于系统权限。为此她还专门发布了在 Windows x86 下的 PoC。

CERT/CC 的漏洞分析师 Will Dormann 澄清表示,SandboxEscaper 发布的这个 PoC 利用的是 Windows 10 Task Scheduler 中的一个漏洞,“设置了遗留导入任务的 SetSecurityInfo()”。他指出,“这个利用调用了一次代码,删除了文件之后以指向文件的 NTFS 硬链接再次调用,获得 SetSecurityInfo() 的权限。”

Dormann 测试了该利用代码并证实起作用,指出无需在 Windows 10 x86 系统上做出任何修改即可成功,成功率是100%。

要在 64位 Windows 系统上起作用,需要重新编译第一个代码,成功率也是百分百,和 Sever 2016以及2019的情况一样。Dormann 唯一无法成功复现的操作系统版本是 Windows 8 和7。

SandboxEscaper 在博客中表示还有四个其它未披露的 0day。其中三个是本地权限提升 (LPE) 漏洞,可导致代码执行;第四个是沙箱逃逸。她似乎想把这些 0day 出售给非西方买家,每个 LPE 0day 的售价至少是6万起,不过不清楚是6万欧元还是6万美元。

Windows 错误报告 0day

这个 0day 存在于 Windows 错误报告服务中,SandboxEscaper 表示可通过特殊放置的 DACL 操作利用它。

SandboxEscaper 将该 bug 命名为“AngryPolarBearBug2”,是因为她在去年12月份曾从该服务中发现了另外一个 0day 并将其命名为“AngryPolarBearBug”。

好在这个 0day 不如去年12月发现的第一个 AngryPolarBearBug 好利用,因为“要触发该 bug,需要最多15分钟。”一旦别利用,攻击者就能访问正常情况下无法访问的编辑文件。它虽然是一个权限提升问题,但SandboxEscaper 表示,“不算是一个问题”。

不明 IE11 0day

另外一个 0day 影响 IE11。

除了利用的源代码和简短的演示视频外,这个 0day 的内容只有一个三行概述。

SandboxEscaper 表示,这个 0day 应该可导致攻击者在 IE 浏览器中注入恶意代码。查看了该利用的一名安全研究员表示,该 0day 漏洞无法远程用,不过可以用于在后续攻击中绕过IE安全保护。

之前曾发过的 PoC

SandboxEscaper 在2018年曾发布过的 PoC 包括,高级本地程序调用 (ALPC) 中的 LPE、微软数据共享 (dssvc dll) 中的 LPE、ReadFile 中的 LPE以及 Windows 出错报告系统中的 LPE。

SandboxEscaper 在个人博客中表示,未来几天将发布另外两个0day。

原文链接

https://www.zdnet.com/article/two-more-microsoft-zero-days-uploaded-on-github/

https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-bug-in-windows-10-task-scheduler/

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。