Novembro da Microsoft 2018 A atualização de terça-feira foi lançada, e contém uma vulnerabilidade específica de dia zero que precisa de atenção especial. O CVE-2018-8589 foi relatado à Microsoft pela Kaspersky Lab em outubro, e foi rapidamente confirmado e atribuído um número CVE.
A falha CVE-2018-8589 foi descoberto por dois pesquisadores da Kaspersky Lab - Igor Soumenkov e Boris Larin. A parte triste é que o dia zero foi explorado por alguns grupos de espionagem cibernética na natureza. Os ataques são descritos como "limitados", com vítimas localizadas no Oriente Médio.
CVE-2018-8589 Currículo Técnico
A vulnerabilidade que foi classificada como uma elevação de privilégio, afeta o componente Windows Win32k. É crucial observar que os atores de ameaças precisam primeiro infectar o sistema antes de explorar o CVE-2018-8589 para obter privilégios elevados.
Como foi descoberto o dia zero? Pelo visto, Kaspersky Lab AEP (Prevenção automática de exploração) sistemas detectaram uma tentativa de explorar uma vulnerabilidade no sistema operacional Windows da Microsoft. Depois de analisar esta tentativa, os pesquisadores chegaram à conclusão de que um dia zero reside no win32k.sys.
Conforme explicado pelos pesquisadores, a exploração foi executada pelo primeiro estágio de um instalador de malware, a fim de obter os privilégios necessários para a persistência no sistema da vítima. Mais especificamente:
CVE-2018-8589 é uma condição de corrida presente no win32k!xxxMoveWindow devido ao bloqueio inadequado de mensagens enviadas de forma síncrona entre threads. A exploração usa a vulnerabilidade criando dois threads com uma classe e uma janela associada e move a janela do thread oposto dentro do retorno de chamada de uma mensagem WM_NCCALCSIZE em um procedimento de janela comum aos dois threads.
Evidentemente, CVE-2018-8589 havia sido usado para elevar privilégios no Windows de 32 bits 7 versões. A Microsoft recentemente corrigiu outra elevação de falha de dia zero de privilégio, que também foi relatada a eles pela Kaspersky Lab.
Esse dia zero foi rapidamente corrigido pela Microsoft, mas outro não foi. o [wplinkpreview url =”https://sensorstechforum.com/windows-zero-day-vulnerability-twitter/”]dia zero sem correção foi tornado público via Twitter no mês passado.
Informações sobre o bug foram publicadas no Twitter, onde ficou conhecido que o serviço Microsoft Data Sharing foi afetado. Esta é uma parte importante do sistema operacional, uma vez que permite o compartilhamento de dados entre as aplicações.
Uma análise detalhada do problema mostra que os hackers podem usá-lo para obter privilégios elevados ao executar código malicioso. O código de prova de conceito publicado foi concebido para remover os arquivos da máquina que normalmente exige privilégios elevados - estes são geralmente arquivos de sistema ou dados protegidos.
Parece que, por causa da maneira como o dia zero foi divulgado, A Microsoft não teve tempo suficiente para corrigir a falha na Patch Tuesday deste mês, então um patch é esperado em um futuro próximo.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: