Huis » Nieuws » Mysterieus en boos SandboxEscaper in twee dagen geplaatst wat meer 0-day exploits voor Windows in open access

Mysterieus en boos SandboxEscaper in twee dagen geplaatst wat meer 0-day exploits voor Windows in open access

Slechts een dag na de bekendmaking van PoC-code voor bug uitbuiting in Windows Taakplanner specialist in cybersecurity die bijnaam SandboxEscaper gebruikt, publiceerde nog twee werkende exploits.

First een voor kwetsbaarheid in Windows Error Reporting Service en seconde voor de bug in de browser Internet Explorer.

Door een beveiligingslek in Windows Error Reporting Dienst dat werd genoemd AngryPolarBearBug2, kunnen worden benut door het DACL (Discretionary Access Control List) dat is een lijst van selectieve toegangscontrole. Deze bug is heel moeilijk te exploiteren, maar met de succesvolle poging, het laat bewerken van bestanden die gebruiker met een lage toegangsrechten kan niet veranderen.

Tweede kwetsbaarheid bevat internet Explorer 11 browser. Volgens de beschrijving, aanvaller kan deze bug te gebruiken voor de uitvoering van de malware code in IE. Exploit staat niet toe dat externe uitbuiting, maar kan worden gebruikt voor het blokkeren van beveiligingsfuncties browser.

SandboxEscaper zei dat ze heeft vier 0-day exploits en dat ze wil hen verkoop aan niet-westerse contries kopers. Echter, zij kan haar van gedachten veranderd.

“F * ck deze shitty industrie. Ik ben niet van plan om een ​​carrière toch in te maken, Ik haat alle mensen die betrokken zijn in deze industrie.”, - SandboxEscaper schrijft.

Ze bleef publicaties over GitHub, gepubliceerde informatie en PoC voor nog twee 0-dag kwetsbaarheden, misschien boos dat FBI gevraagd Google met betrekking tot haar account.

Het eerste probleem maakt het mogelijk omzeilen van patches voor CVE-2019-0841 kwetsbaarheid die in april werd vastgesteld door Microsoft engineers 2019. Deze kwetsbaarheid gekoppeld aan Windows appx Implementatieservice (AppXSVC) en maakt het mogelijk lokale opkomst van privileges in het systeem.

Tweede kwetsbaarheid gekoppeld aan Windows Installateurs (C:\Windows Installer).

LEZEN  Exploitanten van Trickbot en IcedID Trojans gezamenlijke inspanningen en technologie
SandboxEscaper op Twitter. Nu is haar account is geblokkeerd
SandboxEscaper op Twitter. Nu is haar account is geblokkeerd

SandboxEscaper schrijft dat in een korte tijd is het mogelijk om in te grijpen in het proces van de aanvraag de installatie en zet de bestanden in de ongeautoriseerde OS gebieden. Bug exploits msiexec / fa-functionaliteit (het gebruikt voor het bevestigen van montagefouten) en maakt het mogelijk aanvaller malware in de willekeurige plaats te zetten, stijgende zijn rechten ermee. daarom, Deze kwetsbaarheid is ook verbonden met de lokale opkomst van privileges.

Vertegenwoordigers van Microsoft heeft niet gereageerd op de publicatie van verse exploits. Gezien het feit dat probleem niet in staat het uitvoeren van externe willekeurige code kan worden gesuggereerd dat vlekken niet zal worden vrijgegeven voor de volgende “dinsdag updates”.

“Het markeert het einde van het benutten spree, tenminste voor nu, want er is geen verdere gegevens die erop wijzen dat ze heeft meer te exploiteren bommen klaar om te laten vallen”, - stelt Forbes columnist en PC Pro Magazine editor Davey Winder.

Winder vindt het ook belangrijk om toe te voegen dat:

Psychische problemen in de informatie-security-industrie schering en inslag en het lezen van haar blog entries blijkt zeker dat depressie een rol SandboxEscaper het nemen van deze destructieve pad met haar onbetwiste capaciteiten heeft gespeeld.

Bron: https://www.forbes.com

[Totaal: 0    Gemiddelde: 0/5]

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

Smominru Botnet verspreidt zich snel snel

Smominru botnet snel verspreidt en hacks op 90 duizend computers per maand

Cryptogeld mijnbouw en identiteitsdiefstal botnet Smominru (ook bekend als Ismo) began to spread incredibly

TFlower ransomware maakt gebruik van RDP

Onderzoekers zeggen over het kweken van activiteit van TFlower, andere ransomware dat RDP gebruikt

Volgens Bleeping Computer, de activiteit van TFlower, een ransomware die RDP gebruikt en is …

Laat een antwoord achter