CYBER NEWS

CVE-2018-8589 Zero-Day Berørte Windows Win32k Component

Microsofts fra november 2018 Patch tirsdagens har udrullet, og det indeholder en bestemt zero-day sårbarhed, der kræver særlig opmærksomhed. CVE-2018-8589 blev rapporteret til Microsoft af Kaspersky Lab i oktober, og blev hurtigt bekræftet og tildelt et CVE-nummer.




CVE-2018-8589 fejl var opdaget ved to Kaspersky Labs forskere - Igor Soumenkov og Boris Larin. Den triste del er, at nul-dag er blevet udnyttet af nogle cyber-spionage grupper i naturen. Angrebene er beskrevet som ”begrænset”, med ofre at blive placeret i Mellemøsten.

CVE-2018-8589 Teknisk Genoptag

Sårbarheden der er blevet klassificeret som en udvidelse af rettigheder, påvirker Windows Win32k komponent. Det er afgørende at bemærke, at trussel aktører først nødt til at inficere systemet før udnytte CVE-2018-8589 at opnå øgede rettigheder.

Hvordan blev den nul-dag opdagede? Tilsyneladende, Kaspersky Lab AEP (Automatisk Exploit Prevention) systemer opdaget et forsøg på at udnytte en sårbarhed i Microsofts Windows operativsystem. Efter at have analyseret dette forsøg på, forskerne kom til den konklusion, at en nul-dag bosat i Win32k.sys.

Som forklaret af forskerne, den exploit blev henrettet af den første fase af en malware installatør for at få de nødvendige privilegier til vedholdenhed på ofrets systemet. Mere specifikt:

CVE-2018-8589 er en race condition stede i win32k!xxxMoveWindow grund af forkert låsning af meddelelser sendt synkront mellem tråde. Den udnytter bruger sårbarheden ved at skabe to tråde med en klasse og tilhørende vindue og bevæger vinduet i den modsatte gevind inde i tilbagekald af en WM_NCCALCSIZE meddelelse i et vindue procedure, der er fælles for begge tråde.

Åbenbart, CVE-2018-8589 var blevet brugt til at løfte privilegier på 32-bit Windows 7 versioner. Microsoft for nylig lappet en anden udvidelse af rettigheder zero-day fejl, som også blev rapporteret til dem af Kaspersky Lab.

Relaterede: PowerPool Hackere Exploit Nyligt Identificerede Windows Zero-Day Sårbarhed

Denne zero-day blev hurtigt lappet af Microsoft, men en anden var ikke. Den

unpatched zero-day blev offentliggjort via Twitter sidste måned.

Oplysninger om fejlen blev lagt ud på Twitter, hvor det blev kendt, at Microsoft Data Sharing tjeneste var påvirket. Dette er en vigtig del af operativsystemet, da det giver mulighed for udveksling af data mellem applikationer.

En dybdegående kig på spørgsmålet showед at hackere kan bruge det til at opnå øgede rettigheder, når du kører skadelig kode. Den proof-of-concept-kode bogført blev udtænkt for at fjerne filer fra maskinen, som normalt kræver øgede rettigheder - disse er normalt systemfiler eller beskyttede data.

Det lader til, at, grund af den måde nul-dag blev beskrevet, Microsoft havde ikke nok tid til at lappe den fejl i denne måneds Patch tirsdag, så forventes en patch i den nærmeste fremtid.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum siden begyndelsen. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...