CVE-2019-0859 er et zero-day sårbarhed, som var en del af denne måneds Patch tirsdag. Sårbarheden blev opdaget af Kaskersky Labs forskere, der netop frigivet detaljeret teknisk resume af problemet.
I marts 2019, Kasperskys Exploit Prevention (EP) systemer opdaget et forsøg på at udnytte en sårbarhed i Microsoft Windows-operativsystemet. Yderligere analyse af denne begivenhed førte til opdagelsen af en zero-day fejl ligger i Win32k.sys. Det var den femte i træk udnyttes Lokal rettighedsforøgelse sårbarhed i Windows opdaget af det samme team i de sidste mange måneder, forskerne sagde.
CVE-2019-0859 Tekniske Specifikationer
Kort sagt, CVE-2019-0859 er en brug-Efter-Free fejl ligger i systemet funktion, der håndterer dialogvinduer og deres yderligere stilarter. Exploit mønster forskerne stødte på i naturen målrettet 64-bit versioner af operativsystemerne, lige fra Windows 7 til den nyeste builds af Windows 10. Bemærk, at udnyttelse af sårbarheden giver malware at downloade og eksekvere et script skrevet af angriberne. Den værst tænkelige scenario af denne exploit er ved at vinde fuld kontrol over inficerede systemer.
I detaljer, ved udførelse CreateWindowEx sender meddelelsen WM_NCCREATE til vinduet, når det er først oprettet, forskerne forklarede. Ved at bruge SetWindowsHookEx funktionen, er det muligt at indstille en brugerdefineret tilbagekald, der kan håndtere den WM_NCCREATE besked lige før du ringer vinduet procedure.
Endvidere, fejlen er relateret til Funktion ID:
I Win32k.sys alle vinduer er forelagt af tagWND struktur, som har en ”fnid” feltet også kendt som Function-id. Feltet anvendes til at definere klassen af et vindue; alle vinduer er opdelt i klasser såsom ScrollBar, Menu, Desktop og mange andre.
De udnytter forskerne opdaget i naturen var rettet mod 64-bit versioner af Windows (fra Windows 7 til ældre bygger på Windows 10). Fejlen blev gearede ved anvendelse af den velkendte HMValidateHandle teknik brugt til at omgå ASLR.
Efter en vellykket udnyttelse, PowerShell blev henrettet med en Base64 kodet kommando. Det eneste formål med kommandoen var at hente en anden fase script fra https // pastebin.com. Den anden fase PowerShell henrettet den afsluttende tredje fase, der var også en PowerShell script.
Brugere bør installere opdateringen adressering CVE-2019-0859 for at undgå enhver udnyttelse.