นักวิจัยสาธิต PoC 3 ช่องโหว่ Zero-day ใหม่ของ Windows ไว้บน GitHub

คงต้องกล่าวว่านักวิจัยคนเดิม (SandboxEscaper) เพิ่มเติมคืออีก 3 ช่องโหว่ Zero-day และ 1 ช่องโหว่ที่ Microsoft เพิ่งแพตช์ไปไม่นานนี้ โดยเป็นคนเดียวกับคนที่ค้นพบช่องโหว่ Zero-day บน Task Scheduler ที่เราเพิ่งนำเสนอไปเมื่อวานซึ่งวันนี้นักวิจัยได้เผยแพร่การ PoC ช่องโหว่ใหม่ไว้ที่ GitHub ของตนเช่นเคย  

IE11 Zero-day

เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถ inject โค้ดอันตรายเข้าไปใน IE ได้แต่จากการวิเคราะห์ของผู้เชี่ยวชาญไม่สามารถใช้จากภายนอกเข้ามาได้ โดยสิ่งที่นักวิจัยสาธิตคือมีการ inject DLL เข้าไปในโปรเซสของ IE 11 ที่นำไปสู่การปิด Internet Protect Mode และทำให้รัน JavaScript ภายใต้ระดับความมั่นคงปลอดภัยต่ำลง (ชมภาพประกอบได้ด้านบน) ผู้สนใจสามารถติดตามเพิ่มเติมได้จาก GitHub ของนักวิจัย

CVE-2019-0841 BYPASS (Zero-day)

ประเด็นคือช่องโหว่นี้ถูกค้นพบก่อนหน้านี้และมีการแพตช์แล้วเพียงแต่ว่า SandboxEscaper เจอวิธีใหม่ที่ยังคงเข้าไปใช้งานช่องโหว่นี้ได้อยู่ โดย CVE-2019-0841 เป็นช่องโหว่ Local Privilege Escalation ที่ทำให้ผู้โจมตีในสิทธิ์ระดับต่ำสามารถ Hijack ไฟล์ที่เป็นของ NT AUTHORITY\SYSTEM ได้โดยการ Overwrite Permission ไฟล์เป้าหมายซึ่งนำไปสู่ Permission ระดับ Full Control ได้ซึ่ง Microsoft กล่าวว่าเป็น Bug ในการจัดการ Hardlink ได้ไม่ดีพอของ Windows AppX Deployment Service (AppXSVC) สามารถชมวีดีโอสาธิตได้จากด้านล่าง

Zero-day InstallerBypass

เป็นช่องโหว่ Local Privilege Escalation ที่ทำให้ส่ง Binary เข้าไปยังโฟลเดอร์ของ Windows และสามารถรันด้วยสิทธิ์ระดับสูง โดยนักวิจัยได้อธิบายว่ามีระยะเวลาสั้นๆ ช่วงหนึ่ง (Race Condition) เมื่อทำการ Repair การติดตั้ง Windows app ซึ่งโปรเซสสามารถถูก Hijack เพื่อเขียนไฟล์ไปยังพื้นที่หวงห้ามของ Windows OS อย่างไรก็ตามช่องโหว่นี้น่าจะมีประโยชน์กับมัลแวร์อย่างมากในการเข้าควบคุมเครื่อง

ผู้สนใจสามารถติดตามรายละเอียดเพิ่มเติมได้จาก GitHub หรือ ชมวีดีโอสาธิตด้านล่าง

AngryPolarBearBug2

อีกหนึ่งช่องโหว่ Local Privilege Escalation แต่เกิดบน Windows Error Reporting Service โดยเกิดจาก Race Condition ของ 2 Function call เพื่อสร้าง Hardlink ที่สามารถยกระดับสิทธิ์ไปยังไฟล์ทำให้ผู้โจมตีสามารถเข้าไปแก้ไข ลบ ไฟล์ที่ตนไม่มีสิทธิ์ได้ซึ่งในวีดีโอสาธิตนักวิจัยได้โชว์ว่าหากทำได้สำเร็จผู้โจมตีจะสามารถเข้าไปแก้ไข C:\Windows\System32\drivers\pci.sys ได้

อย่างไรก็ตามช่องโหว่นี้ไม่จัดเป็น Zero-day เพราะทาง Microsoft ได้แพตช์ป้องกันแล้วในเดือนนี้ด้วยหมายเลข CVE-2019-0863 นอกจากนี้การใช้งานช่องโหว่ก็ไม่ง่ายเพราะนักวิจัยกล่าวว่าเป็นความยากของการเอาชนะ Race Condition ซึ่งขนาดในวีดีโอเองนักวิจัยก็ใช้เวลานานถึง 15 นาทีแถมยังไม่การันตีความสำเร็จในทุกครั้งและสภาพแวดล้อมอื่นๆ ด้วย ผู้สนใจสามารถชมภาพประกอบได้ตามด้านล่างหรือ GitHub

• 

โดยการสาธิตช่องโหว่ครั้งนี้ทำให้ภายใน 10 เดือน SandboxEscaper ได้เผยช่องโหว่ Zero-day ของ Windows มาแล้วถึง 8 รายการเลยทีเดียว (ทำเหมือนหากันง่ายๆ อย่างนั้นแหละ)

ที่มา :  https://www.zdnet.com/article/researcher-publishes-windows-zero-days-for-the-third-day-in-a-row/ และ  https://www.bleepingcomputer.com/news/security/two-more-windows-10-zero-day-poc-exploits-released-brings-total-to-4/ และ  https://www.zdnet.com/article/two-more-microsoft-zero-days-uploaded-on-github/ และ  https://www.bleepingcomputer.com/news/microsoft/poc-exploits-released-for-two-more-windows-vulnerabilities/