La chercheuse SandboxEscaper a découvert une seconde manière de contourner un patch que Microsoft a publié en avril dernier. Cela permettrait à un attaquant d’obtenir les privilèges System sur une machine.

Après avoir publié une série de quatre failles zero-day le mois dernier, la chercheuse en sécurité SandboxEscaper a décidé de récidiver en publiant les détails d’une nouvelle attaque baptisée « ByeBear ».

Les raisons d’agir de SandboxEscaper restent un mystère.

Cette attaque cible le service Windows AppX Deployment et permet à un logiciel d’obtenir les privilèges système.

La faille sous-jacente (CVE-2019-0841) avait déjà été colmatée en avril dernier par Microsoft, mais ByeBear permet de contourner ce patch.

C’est la seconde fois que la chercheuse contourne ce correctif. Son attaque intitulée « CVE-2019-0841-BYPASS », qu’elle avait publié le mois dernier, la mettait déjà en échec.

La chercheuse aurait l’intention de publier une nouvelle faille zero-day dans les prochains jours

Mais l’experte a depuis verrouillé son blog, après avoir déclaré vouloir vendre ses zero-day plutôt que de les publier gratuitement.

Cependant elle avait déjà tenu des propos identiques le mois dernier. Selon le chercheur Eliott Anderson, personne n’aurait  vraiment envie d’acheter des zero-day auprès d’une personne aussi instable et imprévisible

Voir par ailleurs :