Il y a environ deux semaines, un hacker uniquement connu sous le pseudonyme de SandboxEscaper révélait trois failles 0-day dans Windows, ainsi qu’une quatrième le lendemain. Les détails étaient donnés publiquement sur un compte GitHub.

Ce week-end, le compte a lâché de nouvelles informations, sur une autre manière de court-circuiter les protections mises en place par Microsoft dans un patch contre une autre faille. Estampillée CVE-2019-0841, cette dernière permettait d’obtenir des privilèges plus importants grâce à une mauvaise gestion des liens matériels par le Windows AppX Deployment Service.

Le hacker a prouvé ses dires dans une vidéo toujours accessible sur YouTube. La méthode est nommée ByeBear. On peut y voir un navigateur Edge détourné pour écrire une DACL (discretionary access control list) avec des droits SYSTEM.

Mais alors que depuis plus d’un an ces travaux étaient connus pour être librement accessibles depuis GitHub, SandboxEscaper a brusquement changé d’avis hier. « Les gens n’aiment pas quand je lâche des bugs. Je suppose que je vais les vendre à la place ».

Le compte GitHub a donc été vidé (et le blog passé en privé), même si des copies sont apparues. Des chercheurs se sont étonnés de ce changement brutal, notamment Baptiste Robert, faisant remarquer sur Twitter que personne n’achète de failles à un vendeur présentant des signes d’instabilité.

Déjà critiqué pour publier régulièrement des informations sans jamais avertir Microsoft, SandboxEscaper fait désormais l’objet d’une attention plus négative. Certains ont remarqué des détails suggérant un appui plus ou moins important sur des découvertes faites par d’autres.