CVE-2019-0859 es una vulnerabilidad de día cero que formaba parte de este mes martes de parches. La vulnerabilidad fue detectada por los investigadores Kaskersky Lab que acaba de publicar hoja de vida técnico detallado de la cuestión.
En marzo 2019, Explotar Prevención de Kaspersky (EP) sistemas detectan un intento de explotar una vulnerabilidad en el sistema operativo Microsoft Windows. Un análisis más detallado de este evento llevó al descubrimiento de una falla de día cero situado en win32k.sys. Fue la quinta vulnerabilidad de elevación de privilegios local explotada consecutiva en Windows descubierto por el mismo equipo en los últimos meses, los investigadores dijo.
CVE-2019-0859 Detalles técnicos
Poco dicho, CVE-2019-0859 es un defecto de uso después de liberación situada en la función del sistema que se encarga de las ventanas de diálogo y sus estilos adicionales. El patrón de explotar los investigadores se encontraron con en la naturaleza dirigida versiones de 64 bits de los sistemas operativos, que van desde Windows 7 a la última obra de Ventanas 10. Tenga en cuenta que la explotación de la vulnerabilidad permite que el malware para descargar y ejecutar un guión escrito por los atacantes. El peor de los escenarios de esta hazaña está ganando el control total de los sistemas infectados.
En detalle, Tras la ejecución CreateWindowEx envía el mensaje WM_NCCREATE a la ventana cuando se crea por primera vez, los investigadores explicaron. Mediante el uso de la función SetWindowsHookEx, es posible establecer una devolución de llamada personalizado que puede manejar el mensaje WM_NCCREATE justo antes de llamar al procedimiento de ventana.
Además, el fallo está relacionado con la función de identificación:
En win32k.sys todas las ventanas son presentados por la estructura tagWND que tiene un campo “fnid” también conocida como Función de ID. El campo se utiliza para definir la clase de una ventana; todas las ventanas están divididas en clases, tales como ScrollBar, Menú, Escritorio y muchos otros.
Los explotar los investigadores descubrieron en la naturaleza estaba apuntando a las versiones de 64 bits de Windows (desde Windows 7 a mayores compilaciones de Ventanas 10). La falla fue impulsada mediante el uso de la técnica de HMValidateHandle bien conocido utilizado para eludir ASLR.
Después de una explotación exitosa, PowerShell fue ejecutado con un comando codificado en Base64. El único propósito de la orden era descargar un guión de la segunda etapa de https // pastebin.com. La segunda etapa PowerShell ejecuta la etapa tercera final, el cual fue también un script de PowerShell.
Los usuarios deben instalar la actualización de abordar CVE-desde 2019 hasta 0859 para evitar cualquier tipo de explotación.