نفوذگر ناشناسی ۴ بهره‌برداری روز-صفرم مایکروسافت را در عرض ۲۴ ساعت افشا کرد

در کمتر از ۲۴ ساعت پس از افشای عمومی یک آسیب‌پذیری روز-صفرم وصله‌نشده در ویندوز ۱۰، نفوذگر ناشناسی با نام مستعار SandboxEscaper بهره‌برداری‌های جدیدی برای دو آسیب‌پذیری روز-صفرم وصله‌نشده‌ی مایکروسافت منتشر کرده است.

این دو آسیب‌پذیری روز-صفرم سرویس Windows Error Reporting و اینترنت اکسپلورر ۱۱ را تحت تأثیر قرار می‌دهد. دقیقاً همان روزی که یک بهره‌برداری روز-صفرم ویندوز ۱۰ برای اشکال ارتقاء امتیاز محلی در ابزار Task Scheduler منتشر شد، SandboxEscaper ادعا کرد که ۴ اشکال روز-صفرم دیگر کشف کرده است و درحال‌حاضر بهره‌برداری‌های مربوط به دو مورد از آن‌ها به‌طور عمومی منتشر شده است.

یکی از آخرین آسیب‌پذیری‌های روز-صفرم مایکروسافت در سرویس Windows Error Reporting است که می‌تواند بااستفاده از یک عملیات فهرست کنترل دسترسی پیش‌گیرانه (DACL) مورد بهره‌برداری قرار گیرد. DACL مکانیزمی برای شناسایی کاربران و گروه‌هایی است که مجوزهای دسترسی به یک شیء محافظت‌شده به آن‌ها اختصاص داده می‌شود.

پس از بهره‌برداری موفقیت‌آمیز، یک مهاجم می‌تواند هر فایل ویندوز ازجمله فایل‌های قابل اجرای سیستم را حذف یا اصلاح کند که در حالت عادی تنها کاربر مجاز می‌تواند این کار را انجام دهد. این آسیب‌پذیری که توسط نفوذگر AngryPolarBearBug2 نامیده شده است، جانشینی برای آسیب‌پذیری قبلی سرویس Windows Error Reporting است که او در اواخر سال گذشته کشف کرده و AngryPolarBearBug نامیده بود و به مهاجم محلی غیرمجاز اجازه می‌داد تا هر فایل انتخابی در سیستم را بازنویسی کند.

دومین آسیب‌پذیری روز-صفرم مایکروسافت که توسط SandboxEscaper کشف شد، مرورگر وب مایکروسافت، اینترنت اکسپلورر ۱۱ را تحت تأثیر قرار می‌دهد. اگرچه یادداشت بهره‌برداری حاوی هیچ جزئیاتی درباره‌ی این آسیب‌پذیری نیست، اما ویدئویی که توسط نفوذگر منتشر شد، نشان می‌دهد که این آسیب‌پذیری ناشی از یک خطا در زمان مدیریت یک فایل DLL مخرب توسط مرورگر آسیب‌پذیر است. این آسیب‌پذیری درنهایت به یک مهاجم اجازه می‌دهد تا سندباکس IE Protected Mode را دور بزند و کد دلخواه را با مجوزهای کامل اجرا کند.

اگرچه هر سه آسیب‌پذیری روز-صفرم وصله‌نشده که در عرض ۲۴ ساعت توسط SandboxEscaper منتشر شد بحرانی نیستند، اما انتظار می‌رود مایکروسافت در ۱۱ ژوئن در وصله‌های روز سه‌شنبه‌ی خود برای ماه بعد، به‌روزرسانی‌های امنیتی منتشر کند.

یک پژوهش‌گر امنیتی از Palo Alto Networks اعلام کرد که اشکال AngryPolarBearBug2 یک آسیب‌پذیری روز-صفرم نیست و در به‌روزرسانی‌های امنیتی وصله‌ی روز سه‌شنبه‌ی مایکروسافت در ماه مِی سال ۲۰۱۹ میلادی وصله شده است. بااین‌حال، SandboxEscaper بهره‌برداری‌های اثبات مفهومی دو آسیب‌پذیری روز-صفرم وصله‌نشده‌ی جدید دیگر در مایکروسافت ویندوز را منتشر کرده است. بهره‌برداری اول وصله‌ای را که مایکروسافت برای یک آسیب‌پذیری ارتقاء امتیاز (CVE-2019-0841) در ویندوز منتشر کرده بود، دور می‌زند. مخزن دیگری در گیت‌هاب توسط SandboxEscaper مسأله‌ی Installer Bypass نام‌گذاری شده است. اگرچه این نفوذگر ویدئوهای مربوط به هر دو آسیب‌پذیری جدید را منتشر کرده است، اما پژوهش‌گران امنیتی هنوز این ادعاها را تأیید نکرده‌اند.

منبع

Related posts

Leave a Comment

18 + 13 =