Menü

SandboxEscaper enthüllt fünften Win-Exploit, Microsoft patcht die übrigen

Pünktlich zum Patchday hat Microsoft auch die 0-Day-Lücken des Hackers "SandboxEscaper" geschlossen. Alle bis auf eine.

Lesezeit: 1 Min.
In Pocket  speichern vorlesen Drucken Kommentare lesen 8 Beiträge

Bye, bear? SandboxEscaper scheint sich prima zu amüsieren.

(Bild: sandboxescaper.blogspot.com )

Security
Von

Der Hacker (oder die Hackerin) SandboxEscaper, der bereits Ende Mai vier Zero-Day-Exploits für Windows veröffentlichte, hat seiner Sammlung bei GitHub am vergangenen Freitag weiteren Proof-of-Concept (PoC)-Code hinzugefügt.

Sein Blog umfasst nun außerdem eine Liste der CVE-Nummern der früheren Sicherheitslücken. Vergleicht man sie mit den vorhandenen CVE-Einträge in Microsofts Security Response Center (MSRC), wird deutlich, dass seit dem gestrigen Patchday Sicherheitsupdates für alle Lücken bereitstehen.

Im Einzelnen handelt es sich um folgende CVE-Nummern (nebst verlinkter Updates):

Die Reihenfolge der Exploits in der Liste entspricht jener, in der heise Security sie in der ersten Meldung zu SandboxEscapers Veröffentlichungen beschrieben hat.

Bei der neu hinzugekommenen Sicherheitslücke handelt es sich nach Angaben in einer Readme-Datei in SandboxEscapers "polarbearrepo" wie schon bei CVE-2019-1064 um einen weiteren Bypass für CVE-2019-0841.

Den ursprünglichen Patch für CVE-2019-0841 veröffentlichte Microsoft bereits im April. Es handelt sich dabei um eine Lücke in Windows 10, Win 10, Server 2019 und Server 1709/180, die ausschließlich lokal ausnutzbar ist und eine Nutzerinteraktion in Gestalt der Ausführung einer "speziell gestalteten Anwendung“ erfordert. Obwohl Microsoft es in einer ersten Veröffentlichung für "eher unwahrscheinlich" befand, dass CVE-2019-0841 ausgenutzt wird, ist es sehr wahrscheinlich, dass das Unternehmen auch angesichts dieses zweiten Bypass in Kürze nachbessern wird.

Wie SandboxEscapers übrige Lücken kann auch diese nur zur Rechteausweitung und nicht etwa als initiales Einbruchswerkzeug missbraucht werden.

SandboxEscapers "polarbearrepo" mit dem Exploit-Code wurde derweil von GitHub gelöscht. Eine Kopie ist allerdings noch über den Archivdienst archive.is verfügbar. ZDNet hat außerdem via Twitter eine Kopie des ursprünglich von SandboxEscaper bereitgestellten PoC-Videos veröffentlicht. Somit hätten potenzielle Angreifer wohl ausreichend Material, um den Exploit nachzubauen.

SandboxEscaper alias Polar Bear zeigt sich in seinem Blog derweil in Urlaubsstimmung. Zwischen Fotografien von Wanderstrecken quer durch Schweden, Island, Schottland und die französischen Alpen bleibt als einziger derzeit noch abrufbarer Blogeintrag das GIF eines Eisbären, der fröhlich über den Schnee rutscht. Vielleicht ist der Name des letzten bei GitHub veröffentlichten Exploits – "ByeBear" – tatsächlich wörtlich zu nehmen.

Mehr zum Thema:

(ovw)