Pour terminer l'année 2018, SandboxEscaper a divulgué un code d'exploitation pour une vulnérabilité 0day affectant Windows. Une preuve de concept (PoC) porte sur la possibilité d'écraser le fichier pci.sys avec des données recueillies via Windows Error Reporting.
Chercheur en sécurité informatique du CERT Carnegie Mellon, Will Dormann a été en mesure de confirmer la PoC avec Windows 10. Toutefois, il souligne un exploit 0day qui ne fonctionne pas à tous les coups.
This latest 0day from SandboxEscaper requires a lot of patience to reproduce. And beyond that, it only *sometimes* overwrites the target file with data influenced by the attacker. Usually it's unrelated WER data.https://t.co/FnqMRpLy77 pic.twitter.com/jAk5hbr46a
— Will Dormann (@wdormann) 29 décembre 2018
Pour Mitja Kolsek, cofondateur de la plateforme 0patch et patron d'Acros Security, le problème demeure réel pour autant, même s'il s'agit d'une élévation de privilèges en local.
D'après SandboxEscaper, la 0day peut être exploitée afin de désactiver des antivirus tiers et pour permettre l'exécution d'autres exploits. Elle serait par contre inopérante sur des machines avec un processeur non multicore.
En 2018, SanboxEscaper a eu recours à Twitter pour divulguer quatre failles 0day touchant Windows. Pour la dernière en date, Microsoft aurait été informé du bug. Les comptes de SandboxEscaper sur Twitter ont été suspendus, mais ses trouvailles se retrouvent sur GitHub.
