SandboxEscaper enthüllt fünften Win-Exploit, Microsoft patcht die übrigen
Pünktlich zum Patchday hat Microsoft auch die 0-Day-Lücken des Hackers "SandboxEscaper" geschlossen. Alle bis auf eine.
Bye, bear? SandboxEscaper scheint sich prima zu amüsieren.
(Bild: sandboxescaper.blogspot.com)
Der Hacker (oder die Hackerin) SandboxEscaper, der bereits Ende Mai vier Zero-Day-Exploits für Windows veröffentlichte, hat seiner Sammlung bei GitHub am vergangenen Freitag weiteren Proof-of-Concept (PoC)-Code hinzugefügt.
Sein Blog umfasst nun außerdem eine Liste der CVE-Nummern der früheren Sicherheitslücken. Vergleicht man sie mit den vorhandenen CVE-Einträge in Microsofts Security Response Center (MSRC), wird deutlich, dass seit dem gestrigen Patchday Sicherheitsupdates für alle Lücken bereitstehen.
Microsoft schließt die Lücken
Im Einzelnen handelt es sich um folgende CVE-Nummern (nebst verlinkter Updates):
- CVE-2019-0863: SandboxEscapers einziger "Non-Zero-Day": Die Lücke wurde bereits zum Mai-Patchday geschlossen; Microsoft bedankte sich bei "Polar Bear" alias SandboxEscaper.
- CVE-2019-1069: Rechteausweitung via Aufgabenplanung (Juni-Patchday)
- CVE-2019-1053: Sandbox-Escape aus Internet Explorer 11 (Juni-Patchday)
- CVE-2019-1064: CVE-2019-0841-Bypass (Juni-Patchday)
- CVE-2019-0973: Windows Installer Bypass (Juni-Patchday)
Die Reihenfolge der Exploits in der Liste entspricht jener, in der heise Security sie in der ersten Meldung zu SandboxEscapers Veröffentlichungen beschrieben hat.
Weiterer CVE-2019-0841-Bypass veröffentlicht
Bei der neu hinzugekommenen Sicherheitslücke handelt es sich nach Angaben in einer Readme-Datei in SandboxEscapers "polarbearrepo" wie schon bei CVE-2019-1064 um einen weiteren Bypass für CVE-2019-0841.
Den ursprünglichen Patch für CVE-2019-0841 veröffentlichte Microsoft bereits im April. Es handelt sich dabei um eine Lücke in Windows 10, Win 10, Server 2019 und Server 1709/180, die ausschließlich lokal ausnutzbar ist und eine Nutzerinteraktion in Gestalt der Ausführung einer "speziell gestalteten Anwendung“ erfordert. Obwohl Microsoft es in einer ersten Veröffentlichung für "eher unwahrscheinlich" befand, dass CVE-2019-0841 ausgenutzt wird, ist es sehr wahrscheinlich, dass das Unternehmen auch angesichts dieses zweiten Bypass in Kürze nachbessern wird.
Wie SandboxEscapers übrige Lücken kann auch diese nur zur Rechteausweitung und nicht etwa als initiales Einbruchswerkzeug missbraucht werden.
PoC-Code gelöscht – Polar Bear auf Reisen
SandboxEscapers "polarbearrepo" mit dem Exploit-Code wurde derweil von GitHub gelöscht. Eine Kopie ist allerdings noch über den Archivdienst archive.is verfügbar. ZDNet hat außerdem via Twitter eine Kopie des ursprünglich von SandboxEscaper bereitgestellten PoC-Videos veröffentlicht. Somit hätten potenzielle Angreifer wohl ausreichend Material, um den Exploit nachzubauen.
SandboxEscaper alias Polar Bear zeigt sich in seinem Blog derweil in Urlaubsstimmung. Zwischen Fotografien von Wanderstrecken quer durch Schweden, Island, Schottland und die französischen Alpen bleibt als einziger derzeit noch abrufbarer Blogeintrag das GIF eines Eisbären, der fröhlich über den Schnee rutscht. Vielleicht ist der Name des letzten bei GitHub veröffentlichten Exploits – "ByeBear" – tatsächlich wörtlich zu nehmen.
- Hacker veröffentlicht vier Windows-0-Day-Lücken innerhalb weniger Tage
- Patchday: Gefährliche Lücke in Aufgabenplanung von Windows 10 gepatcht
(ovw)
