La chercheuse SandboxEscaper a découvert une seconde manière de contourner un patch que Microsoft a publié en avril dernier. Elle permet à un attaquant d’obtenir les privilèges System sur une machine.
Après avoir publié de manière sauvage une série de quatre failles zero-day le mois dernier, la chercheuse en sécurité SandboxEscaper a décidé de reprendre du service. Elle vient de publier les détails d’une nouvelle attaque baptisée « ByeBear ». Celle-ci cible le service Windows AppX Deployment et permet à un logiciel d’obtenir les privilèges système. La faille sous-jacente (CVE-2019-0841) avait déjà été colmatée en avril dernier par Microsoft, mais ByeBear permet de contourner ce patch. C’est la seconde fois que la chercheuse met à mal ce correctif. Son attaque intitulée « CVE-2019-0841-BYPASS », qu’elle avait publié le mois dernier, le faisait déjà voler en éclat. Ci-dessous une vidéo de démonstration, récupérée par Hacker News.
Selon ZDnet, la chercheuse a l’intention de publier une nouvelle faille zero-day dans les prochains jours. Mais rien n’est moins sûr. L’experte a depuis verrouillé son blog, après avoir déclaré vouloir vendre ses zero-day plutôt que de les publier gratuitement. Mais elle avait déjà tenu des propos similaires le mois dernier. Il est donc difficile de prendre cela au sérieux. Par ailleurs, comme le souligne le chercheur Eliott Anderson, personne n’a franchement envie d’acheter des zero-day auprès d’une personne aussi instable et imprévisible. Les raisons d’agir de SandboxEscaper restent un mystère.
Source : 01net