Après avoir publié de manière sauvage une série de quatre failles zero-day le mois dernier, la chercheuse en sécurité SandboxEscaper a décidé de reprendre du service. Elle vient de publier les détails d’une nouvelle attaque baptisée « ByeBear ». Celle-ci cible le service Windows AppX Deployment et permet à un logiciel d’obtenir les privilèges système. La faille sous-jacente (CVE-2019-0841) avait déjà été colmatée en avril dernier par Microsoft, mais ByeBear permet de contourner ce patch. C’est la seconde fois que la chercheuse met à mal ce correctif. Son attaque intitulée « CVE-2019-0841-BYPASS », qu’elle avait publié le mois dernier, le faisait déjà voler en éclat. Ci-dessous une vidéo de démonstration, récupérée par Hacker News.
Selon ZDnet, la chercheuse a l’intention de publier une nouvelle faille zero-day dans les prochains jours. Mais rien n’est moins sûr. L’experte a depuis verrouillé son blog, après avoir déclaré vouloir vendre ses zero-day plutôt que de les publier gratuitement. Mais elle avait déjà tenu des propos similaires le mois dernier. Il est donc difficile de prendre cela au sérieux. Par ailleurs, comme le souligne le chercheur Eliott Anderson, personne n’a franchement envie d’acheter des zero-day auprès d’une personne aussi instable et imprévisible. Les raisons d’agir de SandboxEscaper restent un mystère.
Nobody is buying 0day from an unstable person. You need to trust the seller and if there is a possibility that the seller will publish the 0day on Github without warning it’s a no go.
— Baptiste Robert (@fs0c131y) June 9, 2019
Sources: ZDnet, Hacker News
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.