Microsoft novembre 2018 Patch Martedì di ha messo a punto, e contiene una particolare vulnerabilità zero-day che ha bisogno di particolare attenzione. CVE-2018-8589 è stato segnalato a Microsoft da Kaspersky Lab nel mese di ottobre, e fu presto confermata e assegnato un codice CVE.
La falla CVE-2018-8589 era scoperto da due ricercatori di Kaspersky Lab - Igor Soumenkov e Boris Larin. La parte triste è che lo zero-day è stata sfruttata da alcuni gruppi di cyber-spionaggio in natura. Gli attacchi sono descritti come “limitata”, con le vittime di essere situati in Medio Oriente.
CVE-2018-8589 Riprendi tecnico
La vulnerabilità che è stato classificato come elevazione dei privilegi, colpisce il componente di Windows Win32k. E 'fondamentale notare che gli attori delle minacce prima bisogno di infettare il sistema prima di sfruttare CVE-2018-8589 per ottenere privilegi elevati.
Come è stata la zero-day scoperta? Apparentemente, Kaspersky Lab AEP (Automatic Exploit Prevention) sistemi rilevato un tentativo di sfruttare una vulnerabilità nel sistema operativo di Microsoft Windows. Dopo aver analizzato questo tentativo, i ricercatori sono giunti alla conclusione che uno zero-day risiede in Win32k.sys.
Come spiegato dai ricercatori, l'exploit è stato eseguito dal primo stadio di un installatore di malware al fine di ottenere i privilegi necessari per la persistenza sul sistema della vittima. Più specificamente:
CVE-2018-8589 è una condizione di competizione presente in win32k!xxxMoveWindow causa di bloccaggio improprio dei messaggi inviati sincrono tra fili. L'exploit utilizza la vulnerabilità creando due fili con una classe e finestra associata e sposta la finestra del filo di fronte all'interno della callback di un messaggio WM_NCCALCSIZE in una routine di finestra che è comune ad entrambi i fili.
Evidentemente, CVE-2018-8589 era stata utilizzata per elevare i privilegi su Windows a 32 bit 7 Versioni. Microsoft ha recentemente patch un'altra elevazione dei privilegi del giorno zero difetto che è stato anche segnalato per loro da Kaspersky Lab.
Questo zero-day è stato rapidamente patchato da Microsoft ma un altro non era. Il [wplinkpreview url =”https://sensorstechforum.com/windows-zero-day-vulnerability-twitter/”]senza patch zero-day è stato reso pubblico tramite Twitter il mese scorso.
Informazioni sul bug è stato postato su Twitter, dove si è saputo che il servizio di condivisione dei dati di Microsoft è stato influenzato. Questa è una parte importante del sistema operativo in quanto consente la condivisione di dati tra le applicazioni.
Uno sguardo approfondito la questione showед che gli hacker possono utilizzare per ottenere privilegi elevati durante l'esecuzione di codice dannoso. Il codice proof-of-concept pubblicato è stato ideato per rimuovere i file dalla macchina, che normalmente richiede privilegi elevati - queste sono di solito i file di sistema o dati protetti.
Sembra che, a causa del modo in cui la zero-day è stato comunicato, Microsoft non ha avuto abbastanza tempo per correggere il difetto in questo mese Patch Martedì, così una patch è previsto nel prossimo futuro.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: