Très difficile à cerner, SandboxEscaper poursuit sa divulgation de vulnérabilités affectant Windows avec une prédilection pour l'élévation de privilèges en local. Sa nouvelle trouvaille fait l'objet de la publication d'un code exploit… et il ne s'agit toujours pas d'une divulgation responsable. Microsoft n'a pas été mis dans la confidence en amont.
La vulnérabilité affecte le planificateur de tâches (Task Scheduler) avec l'exécution d'un fichier .job spécialement formé, et la possibilité pour un attaquant d'opérer une élévation de privilèges en local sur un fichier choisi grâce à un problème au niveau de la liste de contrôle d'accès aux objets (DACL ; Discretionary Access Control List).
SandboxEscaper just released this video as well as the POC for a Windows 10 priv esc pic.twitter.com/IZZzVFOBZc
— Chase Dardaman (@CharlesDardaman) 21 mai 2019
Outre plusieurs chercheurs en sécurité, la plateforme 0patch d'Acros Security confirme l'exploit 0day et son fonctionnement sur une version entièrement à jour de Windows 10.
We have confirmed this 0day from SandboxEscaper to work on fully updated Windows 10. The DACL of any chosen file gets altered so that the provided user can arbitrarily modify it. https://t.co/AhP9mDwnGs
— 0patch (@0patch) 22 mai 2019
Il est difficile de juger de la dangerosité effective de ce type de vulnérabilité. Tout dépend si elle est associée à une attaque pour laquelle l'accès à une machine a été compromis. Jusqu'à présent, Microsoft a eu tendance à minimiser la dangerosité des failles débusquées par SandboxEscaper, sans procéder à la publication d'un correctif en urgence.
SandboxEscaper joue en tout cas à un jeu dangereux en évoquant d'autres vulnérabilités à venir et la possibilité d'une vente de ses vulnérabilités d'élévation de privilèges en local à des acteurs " non occidentaux. "