CVE-2019-0859 Zero-Day: Wie hat sich die Arbeit im Wilden Exploit?
NACHRICHTEN

CVE-2019-0859 Zero-Day: Wie hat sich die Arbeit im Wilden Exploit?

1 Star2 Stars3 Stars4 Stars5 Stars (Noch keine Bewertungen)
Loading ...

CVE-2019-0859 ist eine Zero-Day-Schwachstelle, die Teil dieses Monats Patchday war. Die Sicherheitslücke wurde von Kaskersky Lab Forscher entdeckt, die gerade detaillierte technische Zusammenfassung der Ausgabe veröffentlicht.




März 2019, Kaspersky Exploit Prevention (EP) Systeme erfaßt, um einen Versuch, eine Schwachstelle im Microsoft Windows-Betriebssystem zu nutzen. Eine weitere Analyse dieser Veranstaltung führte zur Entdeckung eines Zero-Day-Schwachstelle in win32k.sys gelegen. Es war die fünfte Mal in Folge ausgebeutet Local Privilege Escalation Schwachstelle in Windows durch das gleiche Team in den letzten Monaten entdeckt, die Forscher sagte.

verbunden:
April 2019 Patchday ist hier, bestehend aus Fixes für 74 Schwachstellen. Beachten Sie, dass zwei der Mängel (CVE-2019-0803 und CVE-2019-0859 ausgebeutet.
Microsoft Bugs CVE-2019-0803, CVE-2019-0859 im Wilden Exploited.

CVE-2019-0859 Technische Daten

Kurz gesagt, CVE-2019-0859 ist ein Use-after-free-Fehler in der Systemfunktion befindet, die Dialogfenster und ihre weitere Stile Griffe. Das Exploit Muster der Forscher in der Wildnis kamen über gezielte 64-Bit-Versionen der Betriebssysteme, im Bereich von Windows- 7 auf die neueste Windows-Erstellung 10. Beachten Sie, dass Ausnutzung der Schwachstelle ermöglicht die Malware ein Skript von den Angreifern geschrieben herunterzuladen und auszuführen. Der schlimmste Fall dieser exploit gewinnt die volle Kontrolle über infizierte Systeme.

Im Detail, bei der Ausführung sendet CreateWindowEx die Nachricht WM_NCCREATE an das Fenster, wenn es zuerst erstellt werden, Die Forscher erklärten,. Durch die Verwendung der Funktion SetWindowsHookEx, ist es möglich, einen benutzerdefinierten Rückruf zu setzen, die die WM_NCCREATE Nachricht direkt vor dem Aufruf der Fensterprozedur umgehen kann.

Weiter, der Fehler wird im Zusammenhang ID Funktion:

In win32k.sys alle Fenster werden durch die tagWND Struktur dargestellt, die ein „fnid“ Feld hat auch als Funktion ID bekannt. Das Feld wird verwendet, um die Klasse eines Fensters zu definieren,; alle Fenster werden in Klassen wie ScrollBar geteilt, Speisekarte, Desktop und viele andere.

Die ausbeuten die Forscher in der Wildnis entdeckt Targeting 64-Bit-Versionen von Windows (Windows 7 In der älteren Builds von Windows 10). Der Fehler wurde genutzt, durch die gut bekannte Technik verwendet HMValidateHandle ASLR zu umgehen.

Nach einer erfolgreichen Verwertung, Power wurde mit einem Base64 codierten Befehl ausgeführt. Der einzige Zweck des Befehls war eine zweite Stufe Skript zum Herunterladen von https // pastebin.com. Die zweite Stufe Power ausgeführt, um die endgültige dritte Stufe, das war auch ein Powershell-Skript.

Anwender sollten das Update Adressierung CVE-2019-0859 installieren jede Ausbeutung zu vermeiden.

Milena Dimitrova

Ein inspirierter Schriftsteller und Content-Manager, der mit SensorsTechForum ist seit 4 Jahre. Genießt ‚Mr. Robot‘und Ängste‚1984‘. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel!

Mehr Beiträge

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...