CVE-2019-0859 is een zero-day kwetsbaarheid die deel uitmaken van deze maand Patch Tuesday was. Het lek werd ontdekt door Kaskersky Lab onderzoekers die zojuist gedetailleerde technische samenvatting van het probleem.
In maart 2019, Kaspersky's Exploit Prevention (EP) systemen ontdekt een poging om een kwetsbaarheid in de Microsoft Windows-besturingssysteem te benutten. Verdere analyse van deze gebeurtenis heeft geleid tot de ontdekking van een zero-day lek in win32k.sys. Het was de vijfde opeenvolgende uitgebuit Local Privilege Escalation beveiligingslek in Windows door hetzelfde team ontdekt in de afgelopen maanden, de onderzoekers zei.
CVE-2019-0859 Technische Details
Kort gezegd, CVE-2019-0859 is een use-after-Free fout in het systeem functie die dialoogvensters en de aanvullende stijlen handgrepen. De exploit patroon de onderzoekers kwam in het wild gerichte 64-bits versies van de besturingssystemen, variërend van Windows 7 om de nieuwste versies van Windows 10. Merk op dat de exploitatie van de kwetsbaarheid kan de malware naar een script geschreven door de aanvallers te downloaden en uit te voeren. De worst case scenario van deze exploit is het verkrijgen van volledige controle over geïnfecteerde systemen.
In detail, bij uitvoering CreateWindowEx stuurt het bericht WM_NCCREATE naar het raam toen het eerst is gemaakt, de onderzoekers verklaard. Door het gebruik van de SetWindowsHookEx functie, is het mogelijk om een aangepaste callback dat de WM_NCCREATE bericht aankan recht te zetten voordat u het venster procedure.
Bovendien, de bug is gerelateerd aan ID Functie:
In win32k.sys alle vensters door de tagWND structuur die een “fnid” veld ook bekend als Functie ID heeft. Het veld wordt gebruikt om de klasse van een raam te definiëren; alle vensters zijn verdeeld in klassen, zoals ScrollBar, Menu, Desktop en vele anderen.
Het benutten van de onderzoekers in het wild ontdekt gericht was op 64-bits versies van Windows (van Windows 7 oudere versies van Windows 10). De fout werd gestimuleerd door van de bekende techniek gebruikt HMValidateHandle te omzeilen ASLR.
Na een succesvolle exploitatie, PowerShell is uitgevoerd met een Base64 gecodeerd commando. Het enige doel van de opdracht was om een tweede fase script van te downloaden https // pastebin.com. De tweede fase PowerShell uitgevoerd, het laatste derde fase, dat was ook een PowerShell script.
Gebruikers moeten de update te installeren aanpakken CVE-2019-0859 elke uitbuiting te voorkomen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: