CVE-2019-0859 ist eine Zero-Day-Schwachstelle, die Teil dieses Monats Patchday war. Die Sicherheitslücke wurde von Kaskersky Lab Forscher entdeckt, die gerade detaillierte technische Zusammenfassung der Ausgabe veröffentlicht.
März 2019, Kaspersky Exploit Prevention (EP) Systeme erfaßt, um einen Versuch, eine Schwachstelle im Microsoft Windows-Betriebssystem zu nutzen. Eine weitere Analyse dieser Veranstaltung führte zur Entdeckung eines Zero-Day-Schwachstelle in win32k.sys gelegen. Es war die fünfte Mal in Folge ausgebeutet Local Privilege Escalation Schwachstelle in Windows durch das gleiche Team in den letzten Monaten entdeckt, die Forscher sagte.
CVE-2019-0859 Technische Daten
Kurz gesagt, CVE-2019-0859 ist ein Use-after-free-Fehler in der Systemfunktion befindet, die Dialogfenster und ihre weitere Stile Griffe. Das Exploit Muster der Forscher in der Wildnis kamen über gezielte 64-Bit-Versionen der Betriebssysteme, im Bereich von Windows- 7 auf die neueste Windows-Erstellung 10. Beachten Sie, dass Ausnutzung der Schwachstelle ermöglicht die Malware ein Skript von den Angreifern geschrieben herunterzuladen und auszuführen. Der schlimmste Fall dieser exploit gewinnt die volle Kontrolle über infizierte Systeme.
Im Detail, bei der Ausführung sendet CreateWindowEx die Nachricht WM_NCCREATE an das Fenster, wenn es zuerst erstellt werden, Die Forscher erklärten,. Durch die Verwendung der Funktion SetWindowsHookEx, ist es möglich, einen benutzerdefinierten Rückruf zu setzen, die die WM_NCCREATE Nachricht direkt vor dem Aufruf der Fensterprozedur umgehen kann.
Weiter, der Fehler wird im Zusammenhang ID Funktion:
In win32k.sys alle Fenster werden durch die tagWND Struktur dargestellt, die ein „fnid“ Feld hat auch als Funktion ID bekannt. Das Feld wird verwendet, um die Klasse eines Fensters zu definieren,; alle Fenster werden in Klassen wie ScrollBar geteilt, Speisekarte, Desktop und viele andere.
Die ausbeuten die Forscher in der Wildnis entdeckt Targeting 64-Bit-Versionen von Windows (Windows 7 In der älteren Builds von Windows 10). Der Fehler wurde genutzt, durch die gut bekannte Technik verwendet HMValidateHandle ASLR zu umgehen.
Nach einer erfolgreichen Verwertung, Power wurde mit einem Base64 codierten Befehl ausgeführt. Der einzige Zweck des Befehls war eine zweite Stufe Skript zum Herunterladen von https // pastebin.com. Die zweite Stufe Power ausgeführt, um die endgültige dritte Stufe, das war auch ein Powershell-Skript.
Anwender sollten das Update Adressierung CVE-2019-0859 installieren jede Ausbeutung zu vermeiden.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: