CVE-2019-0859 è una vulnerabilità zero-day che faceva parte di questo mese Patch Martedì. La vulnerabilità è stato rilevato dai ricercatori Kaskersky Lab che ha appena pubblicato curriculum tecnica dettagliata del problema.
A marzo 2019, Exploit Prevention di Kaspersky (EP) sistemi rilevato un tentativo di sfruttare una vulnerabilità nel sistema operativo Microsoft Windows. Ulteriori analisi di questo evento ha portato alla scoperta di una falla zero-day situato in Win32k.sys. E 'stata la quinta vulnerabilità Privilege Escalation locale sfruttato consecutiva in Windows scoperto dallo stesso team negli ultimi mesi, i ricercatori disse.
CVE-2019-0859 Dettagli tecnici
Poco detto, CVE-2019-0859 è un difetto use-after-free si trova nella funzione del sistema che gestisce le finestre di dialogo ei loro stili aggiuntivi. Il modello di sfruttare i ricercatori sono imbattuto in natura mirata versioni a 64 bit dei sistemi operativi, che vanno da Windows 7 l'ultima build di di Windows 10. Si noti che lo sfruttamento della vulnerabilità consente il malware per scaricare ed eseguire un copione scritto da aggressori. Il caso peggiore scenario di questo exploit sta guadagnando il pieno controllo dei sistemi infetti.
In dettaglio, al momento dell'esecuzione CreateWindowEx invia il messaggio WM_NCCREATE alla finestra quando viene prima creato, i ricercatori hanno spiegato. Utilizzando la funzione SetWindowsHookEx, è possibile impostare una richiamata personalizzato in grado di gestire il messaggio WM_NCCREATE destra prima di chiamare la routine di finestra.
Inoltre, il bug è legato alla funzione ID:
In win32k.sys tutte le finestre vengono presentati dalla struttura tagWND che ha un campo “fnid”, noto anche come ID funzione. Il campo viene utilizzato per definire la classe di una finestra; tutte le finestre sono divise in classi come ScrollBar, Menu, Desktop e molti altri.
I sfruttare i ricercatori hanno scoperto in natura si indirizzava le versioni a 64 bit di Windows (da Windows 7 al più vecchio build di di Windows 10). Il difetto è stato sfruttato utilizzando la tecnica HMValidateHandle noto utilizzato per bypassare ASLR.
Dopo uno sfruttamento successo, PowerShell è stato eseguito con un comando Base64. L'unico scopo del comando è stato quello di scaricare uno script di secondo stadio da https // pastebin.com. La seconda fase PowerShell eseguita la terza fase finale, che era anche uno script PowerShell.
Gli utenti devono installare l'aggiornamento di indirizzamento CVE-2019-0859 per evitare qualsiasi sfruttamento.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: