CVE-2019-0859 est une vulnérabilité zéro jour qui faisait partie du Patch Tuesday de ce mois-ci. La vulnérabilité a été détectée par des chercheurs Kaskersky Lab qui vient de publier curriculum vitae technique détaillé de la question.
En mars 2019, Exploit de la prévention de Kaspersky (EP) Les systèmes ont détecté une tentative d'exploiter une vulnérabilité dans le système d'exploitation Microsoft Windows. Une analyse plus approfondie de cet événement a conduit à la découverte d'un défaut zéro jour situé dans win32k.sys. Il était la cinquième consécutive exploité la vulnérabilité Escalation locale des privilèges dans Windows découvert par la même équipe au cours des derniers mois, les chercheurs dit.
CVE-2019-0859 Détails techniques
Peu dit, CVE-2019-0859 est un défaut d'utilisation ultérieure libre situé dans la fonction système qui gère les fenêtres de dialogue et leurs styles supplémentaires. Le modèle d'exploiter les chercheurs ont rencontré dans la cible sauvage versions 64 bits des systèmes d'exploitation, allant à partir de Windows 7 le dernier construit de Windows 10. A noter que l'exploitation de la vulnérabilité permet le logiciel malveillant de télécharger et d'exécuter un script écrit par les attaquants. Le pire des cas de cet exploit gagne le contrôle total des systèmes infectés.
En détail, lors de l'exécution CreateWindowEx envoie le WM_NCCREATE de message à la fenêtre quand il est d'abord créé, les chercheurs ont expliqué. En utilisant la fonction SetWindowsHookEx, il est possible de définir un rappel personnalisé qui peut gérer le message WM_NCCREATE droit avant d'appeler la procédure de fenêtre.
En outre, le bug est lié à la fonction ID:
Dans win32k.sys toutes les fenêtres sont présentées par la structure tagWND qui a un champ « fnid » également connu sous le nom ID de fonction. Le champ est utilisé pour définir la classe d'une fenêtre; toutes les fenêtres sont divisées en classes telles que ScrollBar, Menu, Bureau et bien d'autres.
Les chercheurs ont découvert les exploiter dans la nature ciblaient les versions 64 bits de Windows (à partir de Windows 7 à plus builds de Windows 10). La faille a été exploitée en utilisant la technique de HMValidateHandle bien connu utilisé pour contourner ASLR.
Après une exploitation réussie, PowerShell a été exécuté avec une commande codée base64. Le seul but de la commande est de télécharger un script deuxième étape de https // pastebin.com. La deuxième étape PowerShell exécuté la dernière troisième étape, qui était aussi un script PowerShell.
Les utilisateurs doivent installer la mise à jour d'adressage CVE-2019-0859 afin d'éviter toute exploitation.