SandboxEscaper携Windows 0 day归来

近日，SandboxEscaper又在GitHub上公布了一个Windows 0 day漏洞ByeBear的详细情况，该0 day漏洞影响Windows 10和Server 2019。

CVE-2019-0841补丁绕过

关于该0 day漏洞，更确切的说是对微软漏洞CVE-2019-0841修复补丁的绕过。SandboxEscaper在没有通知微软的情况下就公布了CVE-2019-0841 Windows本地权限提升漏洞的绕过漏洞利用，并附上了PoC。

SandboxEscaper将该漏洞利用命名为ByeBear，该漏洞利用可以让攻击者绕过微软的CVE-2019-0841补丁来进行权限提升。微软在2019年4月发布了CVE-2019-0841的补丁，其中提到CVE-2019-0841是由于Windows AppX Deployment Service (AppXSVC)不当处理硬链接导致的。绕过该补丁允许本地攻击者在权限提升的环境中运行进程，然后安装程序，查看、修改和删除数据。

两周前，SandboxEscaper发布了针对该补丁的第一个绕过，与之前的漏洞发布一样，都没有事先通知微软。

上周四，SandboxEscaper在GitHub的writeup中写道，通过滥用Microsoft Edge浏览器漏洞他发现了第二个补丁绕过漏洞。绕过是通过删除c:\\users\\%username%\\appdata\\local\\packages\\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\\中的所有文件和子文件夹，然后启动Edge浏览器2次，因为第一次启动会奔溃。第二次启动Edge时，会模仿SYSTEM写入DACL [discretionary access control list]。该方法可以通过点击桌面任务栏、点击microsoft-edge来启动Edge。

PoC视频见原文：https://threatpost.com/sandboxescaper-byebear-windows-bypass/145470/

SandboxEscaper称该bug并不限于Edge，也可以用其他不需要弹窗的方式来静默地触发该漏洞。理论上讲启动Edge 1次就可以了，但有时候需要启动2次才可以。

根据微软对CVE-2019-0841漏洞的描述，攻击者首先需要登陆到系统中，然后运行特殊伪造的应用来利用该漏洞并控制受影响的系统。

这是SandboxEscaper 5月以来发布的第4个0 day漏洞，因为下次微软安全更新时间应该是6月11日，因此研究人员认为微软本次不会修复该0 day漏洞。

目前ByeBear GitHub页面已经被删除。