0day Windows 10 : SandboxEscaper publie une autre PoC
Une preuve de concept qui semble quelque peu récalcitrante, mais c'est la quatrième fois que SandboxEscaper divulgue une 0day touchant Windows.
Pour terminer l'année 2018, SandboxEscaper a divulgué un code d'exploitation pour une vulnérabilité 0day affectant Windows. Une preuve de concept (PoC) porte sur la possibilité d'écraser le fichier pci.sys avec des données recueillies via Windows Error Reporting.
Chercheur en sécurité informatique du CERT Carnegie Mellon, Will Dormann a été en mesure de confirmer la PoC avec Windows 10. Toutefois, il souligne un exploit 0day qui ne fonctionne pas à tous les coups.
This latest 0day from SandboxEscaper requires a lot of patience to reproduce. And beyond that, it only *sometimes* overwrites the target file with data influenced by the attacker. Usually it's unrelated WER data.https://t.co/FnqMRpLy77 pic.twitter.com/jAk5hbr46a
— Will Dormann (@wdormann) 29 décembre 2018
Pour Mitja Kolsek, cofondateur de la plateforme 0patch et patron d'Acros Security, le problème demeure réel pour autant, même s'il s'agit d'une élévation de privilèges en local.
D'après SandboxEscaper, la 0day peut être exploitée afin de désactiver des antivirus tiers et pour permettre l'exécution d'autres exploits. Elle serait par contre inopérante sur des machines avec un processeur non multicore.
En 2018, SanboxEscaper a eu recours à Twitter pour divulguer quatre failles 0day touchant Windows. Pour la dernière en date, Microsoft aurait été informé du bug. Les comptes de SandboxEscaper sur Twitter ont été suspendus, mais ses trouvailles se retrouvent sur GitHub.
-
Le Patch Tuesday d'avril de Microsoft comporte des correctifs pour 74 vulnérabilités de sécurité, dont deux 0day affectant toutes les versions de Windows. -
Associée à une 0day de Windows 7, la vulnérabilité de Google Chrome au niveau de FileReader permettait une exploitation en contournant la protection sandbox.
Vos commentaires
Heu... Y-a-t-il des machines équipées d'un mono-coeur tournant sur Windows 10 ?
"un exploit 0day qui ne fonctionne pas à tous les coups." ...
"s'il s'agit d'une élévation de privilèges en local." ...
Bref, un tempête dans un verre d'eau pour faire parler de soi en ce début d'année. Une pub déguisée comme une autre... Why not.
Qui a demandé cette suspension et pourquoi a t'elle été accordée ?
Premium
Mise en danger de la sécurité d'autri ... ça ne te parle pas ...
Ridicule sachant que ces même infos sont sur d'autres sites bien connus des informaticiens .
Twitter est connu pour véhiculer des "virus" mais pour hacker les cerveaux mal protégés .
Si ca n'apparait pas au grand public, les choses trainent, par contre des divulgations à coup de twitter ca les fait réagir. c'est dommage de passer par là mais si ca ne marche que comme ca, et bien tant pis/mieux non?
Il vaut mieux que ces failles soient divulguées pour qu'elles soient colmatées au plus vite plutot que d'être exploitées le plus longtemps.
Premium
Moi je vois ça dans le sens "normal" ... c'est à dire, tu divulgues la faille sur Internet, tu la divulgues à la planète entière, et non plus à un groupe d'initié.
Ca existe encore ?
j'avais bien compris, je n'ai pas remis en cause la raison de la cloture du compte. D'ailleurs je n'en ai pas du tout parlé.