Microsoft's november 2018 Patch Tuesday heeft uitgerold, en het bevat een bepaalde zero-day kwetsbaarheid die speciale aandacht nodig heeft. CVE-2018-8589 werd gemeld aan Microsoft door Kaspersky Lab in oktober, en werd al snel bevestigd en krijgt een CVE-nummer.
De CVE-2018-8589 minpunt was ontdekt door twee Kaspersky Lab onderzoekers - Igor Soumenkov en Boris Larin. Het trieste is dat de zero-day is uitgebuit door sommige cyberspionage groepen in het wild. De aanslagen worden omschreven als “beperkt”, met slachtoffers zijn gelegen in het Midden-Oosten.
CVE-2018-8589 Technische Resume
De kwetsbaarheid die is aangemerkt als een misbruik van bevoegdheden, heeft invloed op de Windows Win32 component. Het is van cruciaal belang om op te merken dat de dreiging acteurs moeten eerst het systeem te infecteren voorafgaand aan de exploitatie van CVE-2018-8589 tot verhoogde rechten te krijgen.
Hoe is het zero-day ontdekt? Blijkbaar, Kaspersky Lab AEP (Automatische Exploit Prevention) systemen ontdekt een poging om een kwetsbaarheid in Microsoft's Windows-besturingssysteem te benutten. Na het analyseren van deze poging, De onderzoekers kwamen tot de conclusie dat er een zero-day woont in win32k.sys.
Zoals uitgelegd door de onderzoekers, de exploit werd uitgevoerd door de eerste fase van een malware-installateur voor de nodige rechten te krijgen voor persistentie op het systeem van het slachtoffer. Specifieker:
CVE-2018-8589 is een conflictsituatie aanwezig win32k!xxxMoveWindow gevolg van onjuiste vergrendeling van berichten synchroon die tussen draden. De exploit gebruikt de lek misbruiken door twee draden in een groep met bijbehorende raam en beweegt het raam van het andere draad binnen het terugbellen van een WM_NCCALCSIZE bericht vensterprocedure dat wil beide draden gemeenschappelijk.
klaarblijkelijk, CVE-2018-8589 was gebruikt om privileges op 32-bit Windows verheffen 7 versies. Microsoft heeft onlangs gepatchte ander misbruik van bevoegdheden zero-day lek, die ook aan hen werd gemeld door Kaspersky Lab.
Deze zero-day werd al snel gepatcht door Microsoft, maar een ander was niet. Het [wplinkpreview url =”https://sensorstechforum.com/windows-zero-day-vulnerability-twitter/”]ongepatchte zero-day werd openbaar gemaakt via Twitter vorige maand.
Informatie over de bug werd gepost op Twitter, waar het werd bekend dat de Microsoft Data Sharing dienst werd beïnvloed. Dit is een belangrijk onderdeel van het besturingssysteem omdat hiermee uitwisselen van gegevens tussen toepassingen.
Een diepgaande blik op de kwestie showед dat hackers het kunt gebruiken om verhoogde rechten te krijgen bij het uitvoeren van kwaadaardige code. De proof-of-concept code geplaatst werd bedacht om bestanden van de machine die normaal vereist verhoogde rechten te verwijderen - deze zijn meestal systeembestanden of beschermde gegevens.
Het lijkt erop dat, vanwege de manier waarop de zero-day werd onthuld, Microsoft had niet genoeg tijd om de fout patch in deze maand Patch Tuesday niet, dus een patch wordt verwacht in de nabije toekomst.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: