Publican un 0-day en el Jet Database Engine de Windows

El 8 de mayo de 2018 Lucas Leong notificó a Microsoft a través del ZDI (Zero Day Initiative) de Trend Micro un 0-day que permite la ejecución remota de código debido a una vulnerabilidad en la administración de índices del Jet Database Engine.

El caso es que se han cumplido los 120 días de margen para Microsoft, se ha liberado y todavía no hay parche para una vulnerabilidad que puede ser explotada por cualquier atacante a través de un archivo de base de datos JET especialmente diseñado para provocar una escritura "out-of-bounds".

Según el ZDI, "La causa de este problema reside en el Motor de base de datos JET de Microsoft. Microsoft parcheó otros dos problemas en JET en las actualizaciones de septiembre. Pero mientras que los errores parcheados se describen como desbordamientos de búfer, este error adicional es en realidad una escritura fuera de límite (out-of-bounds), que se puede desencadenar al abrir un data source Jet a través de OLEDB".

A continuación se muestra una imagen con el crash provocado:


Afortunadamente, se requiere la interacción del usuario requiere para explotar esta vulnerabilidad ya que tienen que abrir el archivo malicioso.

El ZDI confirma que este Zero-day funciona en Windows 7 y se cree que también en el resto de versiones. A falta de exploits totalmente funcionales, podemos encontar ya una Poc aquí:

https://github.com/thezdi/PoC/tree/master/ZDI-18-1075

Fuentes:
- ZDI-CAN-6135: A Remote Code Execution Vulnerability in the Microsoft Windows Jet Database Engine
- Microsoft's Jet crash: Zero-day flaw drops after deadline passes
- Zero-Day Windows Jet Database Engine Vulnerability Allows Remote Code Execution

Comentarios