CVE-2019-0859 é uma vulnerabilidade zero-day que fazia parte deste mês Patch Tuesday. A vulnerabilidade foi detectada por pesquisadores Kaskersky Lab que acaba de lançar currículo técnica detalhada do problema.
Em março 2019, Kaspersky Exploit Prevention (EP) sistemas detectaram uma tentativa de explorar uma vulnerabilidade no sistema operacional Microsoft Windows. Uma análise mais aprofundada deste evento levou à descoberta de uma falha de dia zero localizada em win32k.sys. Foi a quinta vulnerabilidade explorada consecutiva de escalonamento de privilégio local no Windows descoberta pela mesma equipe nos últimos meses, Os pesquisadores disse.
Detalhes técnicos CVE-2019-0859
disse brevemente, CVE-2019-0859 é uma falha Use-After-Free localizada na função do sistema que lida com janelas de diálogo e seus estilos adicionais. O padrão de exploração que os pesquisadores encontraram nas versões selvagens de 64 bits dos sistemas operacionais, variando de Windows 7 para as versões mais recentes do Windows 10. Observe que a exploração da vulnerabilidade permite que o malware baixe e execute um script escrito pelos atacantes. O pior cenário dessa exploração é obter controle total dos sistemas infectados.
Em detalhe, na execução, CreateWindowEx envia a mensagem WM_NCCREATE para a janela quando ela é criada pela primeira vez, os pesquisadores explicaram. Usando a função SetWindowsHookEx, é possível definir um retorno de chamada personalizado que pode lidar com a mensagem WM_NCCREATE antes de chamar o procedimento de janela.
além disso, o bug está relacionado ao ID da função:
No win32k.sys, todas as janelas são apresentadas pela estrutura tagWND, que tem um campo “fnid” também conhecido como ID da função. O campo é usado para definir a classe de uma janela; todas as janelas são divididas em classes, como ScrollBar, Cardápio, Desktop e muitos outros.
A exploração que os pesquisadores descobriram em estado selvagem tinha como alvo versões de 64 bits do Windows (a partir do Windows 7 para versões mais antigas do Windows 10). A falha foi aproveitada usando a técnica HMValidateHandle bem conhecida, utilizada para contornar ASLR.
Após uma exploração bem-sucedida, PowerShell foi executado com um comando codificado em Base64. O único objetivo do comando era baixar um script de segundo estágio de https // pastebin.com. O segundo estágio PowerShell executou o terceiro estágio final, que também era um script PowerShell.
Os usuários devem instalar a atualização endereçando CVE-2019-0859 para evitar qualquer exploração.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: