CVE-2019-0859は、火曜日の今月のパッチの一部であったゼロデイ脆弱性です。. この脆弱性は、問題の詳細な技術履歴書をリリースしたばかりのKaskerskyLabの研究者によって検出されました。.
3月 2019, カスペルスキーのエクスプロイト防止 (EP) システムは、MicrosoftWindowsオペレーティングシステムの脆弱性を悪用する試みを検出しました. このイベントをさらに分析すると、win32k.sysにあるゼロデイ欠陥が発見されました。. これは、過去数か月間に同じチームによって発見された、Windowsで5回連続して悪用されたローカル特権昇格の脆弱性でした。, 研究者 言った.
CVE-2019-0859技術的な詳細
すぐに言った, CVE-2019-0859は、ダイアログウィンドウとその追加スタイルを処理するシステム関数にあるUse-After-Freeの欠陥です。. 研究者が実際にターゲットにした64ビットバージョンのオペレーティングシステムで遭遇したエクスプロイトパターン, Windowsから 7 Windowsの最新ビルドに 10. この脆弱性を悪用すると、マルウェアが攻撃者によって作成されたスクリプトをダウンロードして実行できることに注意してください。. このエクスプロイトの最悪のシナリオは、感染したシステムを完全に制御することです。.
詳細に, 実行時に、CreateWindowExは、最初に作成されたときにメッセージWM_NCCREATEをウィンドウに送信します。, 研究者は説明した. SetWindowsHookEx関数を使用する, ウィンドウプロシージャを呼び出す直前に、WM_NCCREATEメッセージを処理できるカスタムコールバックを設定することができます。.
さらに, バグは関数IDに関連しています:
win32k.sysでは、すべてのウィンドウは、関数IDとも呼ばれる「fnid」フィールドを持つtagWND構造によって表示されます。. このフィールドは、ウィンドウのクラスを定義するために使用されます; すべてのウィンドウは、ScrollBarなどのクラスに分割されています, メニュー, デスクトップと他の多く.
研究者が実際に発見したエクスプロイトは、64ビットバージョンのWindowsを標的にしていました (Windowsから 7 古いビルドのWindowsに 10). この欠陥は、ASLRをバイパスするために使用されるよく知られたHMValidateHandle手法を使用して活用されました。.
悪用に成功した後, PowerShellはBase64でエンコードされたコマンドで実行されました. コマンドの唯一の目的は、第2段階のスクリプトをからダウンロードすることでした。 https //pastebin.com. 第2段階のPowerShellは最後の第3段階を実行しました, これもPowerShellスクリプトでした.
ユーザーは、悪用を避けるために、CVE-2019-0859に対応するアップデートをインストールする必要があります.