Hacker veröffentlicht vier Windows-0-Day-Lücken innerhalb weniger Tage

Inhaltsverzeichnis

Ein Hacker (oder eine Hackerin) mit dem Pseudonym "SandboxEscaper" hat seit vergangenem Dienstag fünf Sicherheitslücken veröffentlicht. Bei vieren handelt sich um so genannte Zero-Day-Lücken, also solche, die bislang noch nie veröffentlicht wurden; eine weitere hatte Microsoft zum Patch Tuesday im Mai geschlossen.

In einem GitHub-Repository hat SandboxEscaper sowohl detaillierte Beschreibungen als auch Proof-of-Concept (PoC)-Code und -Videos für sämtliche Lücken hinterlegt. Über die Veröffentlichungen informierte sie jeweils in ihrem Blog. Dass Sicherheitsforscher und Medien darauf aufmerksam wurden, dürfte darauf zurückzuführen sein, dass sie bereits im vergangenen Jahr vier Windows-spezifische Zero-Days veröffentlichte.

Die aktuellen Exploits zielen in drei Fällen auf verschiedene Windows-Versionen, im vierten auf die (standardmäßig mit Windows 10 ausgelieferte) Version 11 von Microsofts Webbrowser Internet Explorer. Wie bereits im vergangenen Jahr verzichtete SandboxEscaper darauf, Microsoft vorab zu informieren. Einträge in ihrem Blog lassen darauf schließen, dass sie eher an Profit als an Responsible Disclosure interessiert ist.

Bislang sind keine Fälle bekannt, in denen die 0-Days in freier Wildbahn ausgenutzt wurden. Mit Fixes für die – durchweg nur lokal und/oder schwer reproduzierbaren – Lücken dürfte wohl spätestens zum kommenden Patchday im Juni zu rechnen sein.

CVE-2019-0863: Microsoft dankt "Polar Bear"

Die zum Patchday geschlossene Lücke mit der Kennung CVE-2019-0863 betraf laut einem von Microsoft veröffentlichten Sicherheitshinweis mehrere Versionen von Windows 7, 8.1., RT 8.1, 10 sowie zahlreiche Server-Versionen. Im Unterschied zu den 0-Days sei CVE-2019-0863 aktiv angegriffen worden, um beliebigen Code im Kernel-Mode auszuführen.

Unerwarteterweise bedankt sich Microsoft im Sicherheitshinweis unter anderem bei „Polar Bear“. Das ist ein weiteres Pseudonym von SandboxEscaper, die ihr GitHub-Repository "polarbearrepo" getauft hat und die sich auch im eigenen Blog hin und wieder als „Polar Bear“ bezeichnet.

Privilegienerweiterung über den Task Scheduler

Die erste 0-Day-Lücke tauchte am vergangenen Dienstag im Unterordner „bearlpe“ des polarbearrepo auf. SandboxEscaper selbst hat ihren PoC-Code auf einem 32-Bit-Windows 10 auf aktuellem Patch-Stand getestet. Sicherheitsforscher Will Dormann vom CERT/CC bestätigte allerdings via Twitter, dass der bei GitHub veröffentlichte Exploit-Code auch auf 64-Bit-Windows-10-Systemen (mit sämtlichen Patches) funktioniert. Auch Tests mit Windows Server 2016 und 2019 seien erfolgreich gewesen. Windows 7 und 8 seien hingegen augenscheinlich nicht anfällig für den Exploit.

Die zugrundeliegende Sicherheitslücke steckt im Task Scheduler (Taskplaner). Lokale Angreifer mit normalen Benutzerrechten können ihre Rechte ausweiten, indem sie speziell präparierte Tasks im (noch aus Windows XP bekannten) .job-Dateiformat in den Planer importieren.

Laut Dormann sei es auf diese Weise möglich, sich vollen Zugriff auf Dateien zu verschaffen, die sich sonst unter der Kontrolle von SYSTEM und TrustedInstaller befänden.

Deaktivierung des Protected Mode im IE 11

Die zweite Zero-Day-Lücke schob SandboxEscaper – zusammen mit der bereits gepatchten CVE-2019-0863 – einen Tag später hinterher. Die Informationen im Repository-Unterordner „sandboxescape“ sind recht knapp gehalten. Das enthaltene PoC-Video verdeutlicht allerdings, dass die Lücke via DLL-Injection das Deaktivieren des Protected Mode des Internet Explorers 11 erlaubt. Der Protected Mode soll den Rechner im Normalfall vor Angriffen durch Schwachstellen in IE-Erweiterungen oder im Browser selbst schützen und das Aufspielen von Schadsoftware auf diesem Weg verhindern.

Ein Sicherheitsforscher, der die Lücke für ZDNet genauer unter die Lupe nahm, sagte gegenüber der IT-New-Website, dass die Lücke (wie schon die erste) nicht aus der Ferne ausnutzbar sei. Auch könne das durch sie verursachte Herabsetzen des Internet-Explorer-eigenen Schutzes vor Angreifern lediglich der Vorbereitung weiterer Angriffe dienen. Es handle sich um ein Sicherheitsproblem mit eher geringen Auswirkungen („a low-impact issue“).

CVE-2019-0841-Bypass hebelt MS-Patch aus

Ihre letzten beiden Zero-Days veröffentlichte SandboxEscaper schließlich am gestrigen Donnerstag.

Einer der beiden Exploits (Unterordner "CVE-2019-0841-BYPASS" im Repository) umgeht offenbar einen Patch für die Lücke CVE-2019-0841, den Microsoft am Patch Tuesday veröffentlichte. Aus Microsofts Sicherheitshinweis zur Lücke geht hervor, dass sie Windows 10, Win 10, Server2019 und Server 1709/1803 betrifft. Ihre Ausnutzung erfordert laut Microsofts Beschreibung die lokale Anmeldung am System und das Ausführen einer „speziell gestaltete Anwendung“, um letztlich die Kontrolle über das System zu erlangen.

Microsoft schätzt die Ausnutzung im Sicherheitshinweis als eher unwahrscheinlich ein, wird aber nach SandboxEscapers Veröffentlichung dennoch noch einmal nachbessern müssen.

Schwer reproduzierbarer "InstallerBypass"

Zum letzten Exploit schreibt SandboxEscaper bei GitHub im Unterordner"InstallerBypass": "Figure out how this works for yourself" – und fügt noch hinzu, dass sie daran zweifle, dass ihn überhaupt jemand reproduzieren könne. Alles müsse "in einem sehr kleinen Zeitfenster" geschehen.

Das zugehörige PoC-Video zeigt, wie nach Ausführung des Exploit-Codes eine DLL (als Komponente desselbigen) im system32-Ordner landet. Offenbar geht es auch hier um die lokale Erweiterung von Privilegien.

"Ich habe die verbleibenden Bugs hochgeladen", schreibt SandboxEscaper abschließend in ihrem Blog, was die Vermutung nahelegt, dass (zumindest vorerst) keine weiteren Veröffentlichungen folgen werden. (ovw)