Em menos de 48 horas, uma pesquisadora divulgou uma série de provas de conceito (PoC) para diferentes vulnerabilidades zero-day que afetam diferentes serviços da Microsoft. Trata-se de um bug no Gerenciador de Tarefas do Windows 10, falhas que afetam os serviços do Windows Error Reporting de Microsoft e do Internet Explorer 11 e, como se isso não bastasse, nas últimas horas publicou no GitHub o código de uma nova PoC que permite burlar o patch lançado para mitigar uma vulnerabilidade que havia sido corrigida em abril deste ano.

Vulnerabilidade zero-day no Gerenciador de Tarefas do Windows

Com o pseudônimo de SandBoxEscaper, a pesquisadora independente publicou pela primeira vez na terça-feira (21) no GitHub o código de um PoC para explorar uma vulnerabilidade zero-day no Windows 10 que, segundo ela, reside no Gerenciador de Tarefas - um processo conhecido em inglês como Task Sheduler. É uma vulnerabilidade que permite escalonamento de privilégios e que pode fazer com que um atacante execute o código com privilégios de administrador nos dispositivos comprometidos, permitindo até mesmo assumir o controle total do equipamento.

Um atacante pode usar arquivos .job malformados que se aproveitam da falha e permitem obter privilégios no sistema e até alcançar níveis de administrador, o que pode permitir a um intruso acessar todo o sistema. Para demonstrar isso, o SandboxEscaper postou um vídeo mostrando a prova de conceito em ação. 

Vulnerabilidades zero day no Internet Expplorer 11 e no serviço de Relatório de Erros

Além da vulnerabilidade zero-day no Gerenciador de Tarefas, a pesquisadora revelou que descobriu mais quatro vulnerabilidades zero-day. Horas depois, ela publicou detalhes sobre as vulnerabilidades.

No caso do bug que afeta o Serviço de Relatório de Erros, conhecido em inglês como Windows Error Reporting, a falha pode ser explorada através do uso de DAC (Discretionary Access Control), que consiste em um mecanismo que permite identificar usuários e grupos que possuem permissões atribuídas ou negadas por motivos de segurança. Em caso de uma exploração bem-sucedida, um atacante pode excluir ou editar qualquer arquivo do Windows, incluindo executáveis ​​do sistema, explicou SandBoxEscaper no GitHub.

A pesquisadora independente chamou essa vulnerabilidade de "AngryPolarBearBug2", porque no ano passado havia descoberto outra falha no mesmo serviço do Windows que tinha chamado "AngryPolarBearBug" e que permitia a um atacante sem privilégios substituir qualquer arquivo no sistema. Além disso, a própria pesquisadora explica que se trata de uma vulnerabilidade que não é nada fácil de explorar.

No entanto, segundo explicações da Microsoft ao site Zdnet, esse bug foi corrigido há uma semana com o lançamento de atualizações de segurança para o mês de maio de 2019, que tem como referência a CVE-2019-0863. Segundo a página de notícias, essa falha já havia sido relatada, então os detalhes recentemente publicados pela pesquisadora são sobre o código para explorar uma vulnerabilidade que já foi corrigida.

No caso da vulnerabilidade que afeta o Internet Explorer 11, além do código de prova de conceito e um pequeno vídeo que mostra a PoC em ação, não há muitos detalhes sobre essa zero-day. Assim como SandBoxEscaper explica no GitHub, essa vulnerabilidade pode permitir que um atacante injete um código malicioso no navegador devido a um erro na forma como ele interpreta um arquivo DLL malicioso.

Nova PoC permite burlar patch para vulnerabilidade CVE-2019-0841

Ontem (23), SandBoxEscaper publicou os detalhes do código de uma nova PoC que explora a vulnerabilidade CVE-2019-0841 que foi corrigida em abril. Trabalhando com o mesmo conceito de escalonamento de privilégios, alterando as permissões de acesso de certos arquivos, o código divulgado permite burlar o patch recente para que a vulnerabilidade continue sendo explorada.

Antecedentes

Não é a primeira vez que SandBoxEscaper apresenta vulnerabilidades zero-day que afetam o Windows. Em 2018, a pesquisadora publicou a descoberta de quatro vulnerabilidades, e uma delas foi explorada em uma campanha do grupo PowerPool poucos dias depois que a mesma havia sido divulgada.

Essas novas vulnerabilidades vieram à tona logo após a Microsoft lançar o pacote de atualizações de segurança que publica mensalmente, por isso, os usuários devem esperar até o próximo mês para obter os novos patches.