CVE-2019-0859 Zero-Day: Come ha fatto il lavoro nel selvaggio Exploit?
NOTIZIA

CVE-2019-0859 Zero-Day: Come ha fatto il lavoro nel selvaggio Exploit?

CVE-2019-0859 è una vulnerabilità zero-day che faceva parte di questo mese Patch Martedì. La vulnerabilità è stato rilevato dai ricercatori Kaskersky Lab che ha appena pubblicato curriculum tecnica dettagliata del problema.




A marzo 2019, Exploit Prevention di Kaspersky (EP) sistemi rilevato un tentativo di sfruttare una vulnerabilità nel sistema operativo Microsoft Windows. Ulteriori analisi di questo evento ha portato alla scoperta di una falla zero-day situato in Win32k.sys. E 'stata la quinta vulnerabilità Privilege Escalation locale sfruttato consecutiva in Windows scoperto dallo stesso team negli ultimi mesi, i ricercatori disse.

Correlata:
Aprile 2019 Patch Martedì è qui, costituito da correzioni per 74 vulnerabilità. Da notare che due dei difetti (CVE-2019-0803 e CVE-2019-0859 sono sfruttati.
Microsoft Bugs CVE-2019-0803, CVE-2019-0859 sfruttata in modo incontrollato.

CVE-2019-0859 Dettagli tecnici

Poco detto, CVE-2019-0859 è un difetto use-after-free si trova nella funzione del sistema che gestisce le finestre di dialogo ei loro stili aggiuntivi. Il modello di sfruttare i ricercatori sono imbattuto in natura mirata versioni a 64 bit dei sistemi operativi, che vanno da Windows 7 l'ultima build di di Windows 10. Si noti che lo sfruttamento della vulnerabilità consente il malware per scaricare ed eseguire un copione scritto da aggressori. Il caso peggiore scenario di questo exploit sta guadagnando il pieno controllo dei sistemi infetti.

In dettaglio, al momento dell'esecuzione CreateWindowEx invia il messaggio WM_NCCREATE alla finestra quando viene prima creato, i ricercatori hanno spiegato. Utilizzando la funzione SetWindowsHookEx, è possibile impostare una richiamata personalizzato in grado di gestire il messaggio WM_NCCREATE destra prima di chiamare la routine di finestra.

Inoltre, il bug è legato alla funzione ID:

In win32k.sys tutte le finestre vengono presentati dalla struttura tagWND che ha un campo “fnid”, noto anche come ID funzione. Il campo viene utilizzato per definire la classe di una finestra; tutte le finestre sono divise in classi come ScrollBar, Menu, Desktop e molti altri.

I sfruttare i ricercatori hanno scoperto in natura si indirizzava le versioni a 64 bit di Windows (da Windows 7 al più vecchio build di di Windows 10). Il difetto è stato sfruttato utilizzando la tecnica HMValidateHandle noto utilizzato per bypassare ASLR.

Dopo uno sfruttamento successo, PowerShell è stato eseguito con un comando Base64. L'unico scopo del comando è stato quello di scaricare uno script di secondo stadio da https // pastebin.com. La seconda fase PowerShell eseguita la terza fase finale, che era anche uno script PowerShell.

Gli utenti devono installare l'aggiornamento di indirizzamento CVE-2019-0859 per evitare qualsiasi sfruttamento.

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum per 4 anni. Gode ​​di ‘Mr. Robot’e le paure‘1984’. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli!

Altri messaggi

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...