SandboxEscaper： 4件のゼロデイ脆弱性を含むローカルの権限昇格のバグが公開

Windowsタスクスケジューラ、Windowsエラー報告、Internet Explorer 11、Microsoft Edge、およびWindowsインストーラにおける4件のゼロデイ脆弱性を含む5件の脆弱性が開示されました。これらの脆弱性が悪用されると権限が昇格される可能性があります。

背景

5月21日から23日に、セキュリティ研究者は、Windowsタスクスケジューラ（bearlpe）、Windowsエラー報告（angrypolarbear2）、Internet Explorer 11（IE11）、Microsoft Edge、およびWindowsインストーラにおける5件の脆弱性に関する概念実証（PoC）コードを公開しました。 この5件のうち4件はゼロデイの脆弱性です。これらは、この研究者による以前の開示（2018年8月のWindowsタスクスケジューラ、2018年10月のData Sharing Service、ReadFile.exe、および2018年12月のWindowsエラー報告（WER） におけるゼロデイ脆弱性）に続くものです。

分析

公開されている5つの脆弱性は、各PoCのフォルダ名に基づいて命名されています。

1. “bearlpe” (ゼロデイ)
2. “angrypolarbear2”
3. “sandboxescape” (ゼロデイ)
4. “CVE-2019-0841-BYPASS” (ゼロデイ)
5. “InstallerBypass” (ゼロデイ)

bearlpeはWindowsタスクスケジューラの.jobインポート機能を対象とし、angrypolarbear2はWERツールのレポートキュータスクを対象としています。CVE-2019-0841-BYPASSは、Microsoft Edgeをターゲットとし、以前に別の研究者によって発見されていますが、脆弱性はまだ対処されていないようです。 InstallerBypassは、インストールがキャンセルされたときに使用されるロールバックスクリプトを対象とします。

これら4つの脆弱性はすべて、随意アクセス制御リスト（DACL）の作成を標的としています。これらの脆弱性の中には、ネイティブハードリンクの使用を必要とするものがあります。

IE11におけるSandboxEscaperの脆弱性は、既存のIEリモートコード実行（RCE）の脆弱性を突き、IE11のサンドボックスから抜け出すことを可能にします。IShdocvwBrokerのShowOpenFile（）メソッドの欠陥、または、それにより公開されるため、特別に細工されたHTMLファイルは昇格した権限で評価される可能性があります。評価時には、このファイルの保護モードは有効になりません。研究者は、この脆弱性は「ブローカーを介してウィンドウズファイルピッカーを開くことを可能にする他のサンドボックスでも動作する」と指摘しています。

概念実証

概念実証はGithubのbearlpe、angrypolarbear2、sandboxescape、CVE-2019-0841-BYPASS、およびInstallerBypassと呼ばれるリポジトリフォルダにあります。

CERT/CCの脆弱性アナリストであるWill Dormannは、bearlpeの概念実証を試験し、完全にパッチが当てられたWindows 10 32ビットシステム、64ビットシステム、およびWindows Server 2016および2019で攻撃が成功したことを確認しました。しかし、Dormannは、Windows 7またはWindows 8システムでエクスプロイトを再現することはできませんでした。

ソリューション

このブログ記事が公開された時点では、5件の脆弱性のうち4件は対処されていませんでした。マイクロソフトは2019年6月の火曜日のパッチリリースでそれらにパッチをあてるかどうかを報告していません。angrypolarbear2は、マイクロソフトに報告され、2019年5月のパッチ火曜日のリリースで修正されました（CVE-2019-0863）。興味深いことに、CVE-2019-0863を発見した2人の研究者のうちの1人は「Polar Bear」と呼ばれています。 Githubリポジトリ名でも研究者は、この名前を使用しています。Tenableは、ゼロデイ脆弱性に関する追加の更新を継続的に監視しています。

影響を受けているシステムの特定

CVE-2019-0863を識別するためのプラグインのリストはこちらからご覧いただけます。

Bearlpe PoCのテストによると、Windows 10 32ビットおよび64ビットシステム、およびWindows Server 2016およびWindows Server 2019は脆弱です。これらの脆弱性に対するパッチがマイクロソフトによりリリースされ次第、この記事を更新し、攻撃されたシステムを識別するためのプラグインへのリンクを提供します。それまでは、攻撃された資産を特定するために、以下のプラグインを使用することをお勧めします。

• Microsoft Internet Explorer Version Detection
• Microsoft Internet Explorer Version Detection (NNM)
• Microsoft Edge Browser Installed
• Microsoft Edge Browser Detection (NNM)
• OS Identification（OSバージョンをプラグイン出力に表示する）
• Windows 10 Operating System Detection (NNM)

詳細情報

• Github Repository for bearlpe
• Github Repository for angrypolarbearbug2
• Github Repository for sandboxescape
• Github Repository for CVE-2019-0841-BYPASS
• Github Repository for InstallerBypass

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。