零日不再：Windows Bug获得修复

微软任务计划程序中的本地特权升级（LPE）零日错误，由SandboxEscaper于5月下旬在Twitter上公布，通过公开一个功能齐全的漏洞，现在有一个微调。

来自0patch的临时修复程序于周二发布以解决漏洞 。 该错误将允许LPE通过将其他系统的遗留任务导入Task Scheduler实用程序。

0patch的联合创始人和Arcos Security的首席执行官Mitja Kolsek告诉Threatpost，这个漏洞（在SandboxEscaper的Polar Bear相关博客标题之后被称为“BearLPE”）在很多方面都是典型的LPE缺陷。 它允许计算机上的低权限用户随意修改任何文件，包括系统可执行文件。

“由于这些是在高权限环境中执行的，攻击者的代码可以被执行，例如，将攻击者提升为本地管理员或获得计算机上的隐蔽持久性，”Kolsek说。

但是，还有更多的东西。 虽然成功的利用需要攻击者必须知道目标计算机上的有效用户名和密码（需要一些侦察或对Windows域用户的凭据的幸运猜测），但是攻击可以让对手访问通常只有SYSTEM和TrustedInstaller的高权限文件拥有所有权。 研究人员告诉Threatpost，它实际上也可能与相对更常见和廉价的远程访问攻击相关联 - 使其成为潜在的非常危险的漏洞。

微协议通过切断名为“SchRpcSetSecurity”的远程过程调用（RPC）解决了这个问题。原始漏洞通过对“SchRpcRegisterTask”进行RPC调用来工作，该调用由Task Scheduler服务公开。 但是，在调整此函数以阻止漏洞利用时，0patch发现如果对“SchRpcRegisterTask”的原始调用失败，则会对也暴露的“SchRpcSetSecurity”进行调用 - SandboxEscaper将其用作一种备份机制以确保成功开发。

“看起来有些监控线程用于在原始呼叫失败时完成工作，但这个线程没有通过RPC调用，客户端模拟也无法在那里使用，”Kolsek周二在一篇帖子中解释道。 “因此我们决定采用更激进的方法，简单地截断对SetSecurity的调用......之后，我们得到了理想的行为。”他补充说，“因为我们甚至没有触及schedsvc.dll，所以新的（非遗留的）任务调度程序功能完全没有受到影响。“

微型分片仅适用于Windows 10机器 - 但这是有原因的。

“虽然Windows 8仍然包含此漏洞，但在我们的测试中，使用公开描述的技术的利用仅限于当前用户具有写访问权限的文件，”Kolsek说。 “因此，使用公共利用技术对Windows 8系统的影响似乎可以忽略不计。 我们无法在Windows 7系统上演示此漏洞。“

这个漏洞的利用是SandboxEscaper最近一系列攻击中的第一个，她说她想以60,000美元的价格向非西方买家出售这类武器（截至本文撰写时，漏洞利用代码已从Github上）。 在将BearLPE漏洞利用公开后不久，她又发布了三个以及Windows Internet Explorer漏洞的漏洞 。 其中，0patch仅适用于一个修复程序。

“' angrypolarbearbug2 '不是0day，因为它是在2019年5月更新的Windows更新，”一位发言人通过电子邮件说。 “InstallerBypass - 我们无法重现它，并且知道没有人在那里成功（它可能真的很难再现，或者取决于我们的测试环境中不存在的一些外部因素）; 和'sandboxescape'我们能够重现，但不认为这是一个足够关键的微型错误。“

第四个是0patch能够验证并正在分析微定位的旁路错误。 它是以前发布的补丁解决Windows权限覆盖，权限升级缺陷（ CVE-2019-0841 ） 的旁路 。 该错误的存在是因为Windows AppX部署服务（AppXSVC）不正确地处理硬链接。

SandboxEscaper有发布全功能Windows零日的历史。 去年8月，她在推特上推出了另一个任务计划程序漏洞 ，该漏洞在披露后两天内在间谍活动中迅速被利用 。

10月，SandboxEscaper 发布了一个漏洞 ，被称为微软数据共享服务（dssvc.dll）中的“Deletebug”漏洞。 到2018年底，她又提出了两个 ：“angrypolarberbug”，它允许本地无特权的进程覆盖系统上任何选定的文件; 并且漏洞允许在Windows计算机上运行的非特权进程获取任意文件的内容 - 即使此类文件的权限不允许其读取访问权限。