Microsoft acaba de descubrir un producto problemático Huawei PC que podrían haber concedido atacantes con una forma fácil de templar con núcleo de Windows.
De acuerdo a asesor de Huawei, "existe una vulnerabilidad de elevación de privilegios en el producto Huawei PCManager". Un atacante podría engañar a un usuario para instalar y ejecutar una aplicación maliciosa para explotar el error y obtener privilegios elevados.
Sin embargo, esa no es la única vulnerabilidad que fue dirigida. También hay una vulnerabilidad de ejecución de código en el producto Huawei PCManager, que podría haber sido abusado por atacantes para ejecutar código malicioso y leer la memoria / escritura.
¿Cómo resultó Microsoft Descubre las vulnerabilidades en Huawei?
A partir de Windows 10, versión 1809, núcleo de Windows’ tiene nuevos sensores (sensores de núcleo de Microsoft Defender Avanzada de Protección contra amenazas) diseñado para rastrear código de usuario APC inyección iniciada por un código del núcleo, que están destinados a detectar amenazas tales como el kernel [wplinkpreview url =”https://sensorstechforum.com/yatron-raas-extension-eternalblue/”] la DOUBLEPULSAR explotar. El DOUBLEPULSAR es una puerta trasera kernel utilizado por el ransomware WannaCry para inyectar la carga útil principal en el espacio de usuario.
Así, Equipo de Investigación de Defensa Microsoft descubierto un controlador mientras investigaba una alerta planteada por estos sensores. El equipo rastreó el comportamiento anómalo de un conductor de gestión de dispositivos desarrollados por Huawei. Luego, se encontraron con un lapso en el diseño que dio lugar a una vulnerabilidad que podría permitir la elevación local de privilegios.
Microsoft informó de inmediato la vulnerabilidad identificada como CVE-2019-5241 a Huawei, que respondieron con rapidez y en Enero 9, 2019, un arreglo fue puesto en libertad.
En cuanto a la otra vulnerabilidad, CVE-2019-5242, los investigadores de Microsoft también descubrieron que “el controlador proporcionado una capacidad para asignar cualquier página física en modo de usuario con permisos RW":
La invocación de este controlador permite un código que se ejecuta con privilegios bajos de lectura y escritura más allá de las fronteras, para procesar otros procesos o incluso al espacio del núcleo. Este, por supuesto, significa un compromiso completo de la máquina.
Las dos vulnerabilidades descubiertas en un controlador muestran la importancia de diseñar software y productos pensando en la seguridad, microsoft llegó a la conclusión.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: