Novembre de Microsoft 2018 Patch de mardi a déployé, et il contient une vulnérabilité particulière zéro jour qui a besoin d'une attention particulière. CVE-2018-8589 a été signalé à Microsoft par Kaspersky Lab en Octobre, et a été rapidement confirmé et attribué un numéro CVE.
La faille CVE-2018-8589 était découvert par deux chercheurs de Kaspersky Lab - Igor Soumenkov et Boris Larin. Le plus triste est que le zéro jour a été exploitée par certains groupes de cyber-espionnage dans la nature. Les attaques sont décrites comme « limitée », les victimes étant situés au Moyen-Orient.
CVE-2018-8589 Reprise technique
La vulnérabilité, qui a été classé comme une élévation de privilège, affecte le composant Windows Win32k. Il est essentiel de noter que les acteurs de la menace d'abord besoin d'infecter le système avant l'exploitation CVE-2018-8589 pour obtenir des privilèges élevés.
Comment le zéro jour découvert? Apparemment, Kaspersky Lab AEP (Exploit automatique Prévention) Les systèmes ont détecté une tentative d'exploiter une vulnérabilité dans le système d'exploitation Microsoft Windows. Après avoir analysé cette tentative, les chercheurs sont arrivés à la conclusion qu'un zéro jour réside dans win32k.sys.
Comme expliqué par les chercheurs, l'exploit a été exécuté par la première étape d'un programme d'installation des logiciels malveillants afin d'obtenir les privilèges nécessaires à la persistance sur le système de la victime. Plus précisement:
CVE-2018-8589 est une condition de course présente dans win32k!xxxMoveWindow en raison d'un mauvais verrouillage des messages envoyés de manière synchrone entre les threads. L'exploitation utilise cette vulnérabilité en créant deux fils avec une classe et la fenêtre associée et déplace la fenêtre du fil opposée à l'intérieur de la fonction de rappel d'un message de WM_NCCALCSIZE dans une procédure de fenêtre qui est commun aux deux fils.
Évidemment, CVE-2018-8589 avait été utilisé pour élever les privilèges sur Windows 32 bits 7 versions. Microsoft a récemment corrigé une élévation de privilège défaut zéro jour qui leur a été également rapporté par Kaspersky Lab.
Ce zéro jour a été rapidement corrigé par Microsoft, mais un autre n'a pas été. La [wplinkpreview url =”https://sensorstechforum.com/windows-zero-day-vulnerability-twitter/”]zéro jour non corrigée a été rendue publique via Twitter le mois dernier.
Informations sur le bogue a été posté sur Twitter, où il est devenu connu que le service de partage de données Microsoft a été affecté. Ceci est une partie importante du système d'exploitation, car il permet le partage des données entre les applications.
Un regard en profondeur sur la question showед que les pirates peuvent l'utiliser pour obtenir des privilèges élevés lors de l'exécution du code malveillant. Le code preuve de concept affiché a été conçu pour supprimer les fichiers de la machine qui nécessite normalement des privilèges élevés - ceux-ci sont généralement des fichiers système ou des données protégées.
Il paraît que, à cause de la façon dont le zéro jour a été révélé, Microsoft n'a pas eu assez de temps pour colmater la faille dans Patch Tuesday de ce mois-ci, si un patch est prévu dans un avenir proche.