Microsofts fra november 2018 Patch tirsdagens har udrullet, og det indeholder en bestemt zero-day sårbarhed, der kræver særlig opmærksomhed. CVE-2018-8589 blev rapporteret til Microsoft af Kaspersky Lab i oktober, og blev hurtigt bekræftet og tildelt et CVE-nummer.
CVE-2018-8589 fejl var opdaget ved to Kaspersky Labs forskere - Igor Soumenkov og Boris Larin. Den triste del er, at nul-dag er blevet udnyttet af nogle cyber-spionage grupper i naturen. Angrebene er beskrevet som ”begrænset”, med ofre at blive placeret i Mellemøsten.
CVE-2018-8589 Teknisk Genoptag
Sårbarheden der er blevet klassificeret som en udvidelse af rettigheder, påvirker Windows Win32k komponent. Det er afgørende at bemærke, at trussel aktører først nødt til at inficere systemet før udnytte CVE-2018-8589 at opnå øgede rettigheder.
Hvordan blev den nul-dag opdagede? Tilsyneladende, Kaspersky Lab AEP (Automatisk Exploit Prevention) systemer opdaget et forsøg på at udnytte en sårbarhed i Microsofts Windows operativsystem. Efter at have analyseret dette forsøg på, forskerne kom til den konklusion, at en nul-dag bosat i Win32k.sys.
Som forklaret af forskerne, den exploit blev henrettet af den første fase af en malware installatør for at få de nødvendige privilegier til vedholdenhed på ofrets systemet. Mere specifikt:
CVE-2018-8589 er en race condition stede i win32k!xxxMoveWindow grund af forkert låsning af meddelelser sendt synkront mellem tråde. Den udnytter bruger sårbarheden ved at skabe to tråde med en klasse og tilhørende vindue og bevæger vinduet i den modsatte gevind inde i tilbagekald af en WM_NCCALCSIZE meddelelse i et vindue procedure, der er fælles for begge tråde.
Åbenbart, CVE-2018-8589 var blevet brugt til at ophøje privilegier til 32-bit Windows 7 versioner. Microsoft for nylig lappet en anden udvidelse af rettigheder zero-day fejl, som også blev rapporteret til dem af Kaspersky Lab.
Denne zero-day blev hurtigt lappet af Microsoft, men en anden var ikke. Den [wplinkpreview url =”https://sensorstechforum.com/windows-zero-day-vulnerability-twitter/”]unpatched zero-day blev offentliggjort via Twitter sidste måned.
Oplysninger om fejlen blev lagt ud på Twitter, hvor det blev kendt, at Microsoft Data Sharing tjeneste var påvirket. Dette er en vigtig del af operativsystemet, da det giver mulighed for udveksling af data mellem applikationer.
En dybdegående kig på spørgsmålet showед at hackere kan bruge det til at opnå øgede rettigheder, når du kører skadelig kode. Den proof-of-concept-kode bogført blev udtænkt for at fjerne filer fra maskinen, som normalt kræver øgede rettigheder - disse er normalt systemfiler eller beskyttede data.
Det lader til, at, grund af den måde nul-dag blev beskrevet, Microsoft havde ikke nok tid til at lappe den fejl i denne måneds Patch tirsdag, så forventes en patch i den nærmeste fremtid.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: