A Microsoft acaba de descobrir um problemático produto para PC da Huawei que poderia conceder aos invasores uma maneira fácil de temperar com o kernel do Windows.
De acordo com assessoria da Huawei, “há uma vulnerabilidade de escalonamento de privilégios no produto Huawei PCManager”. Um invasor pode enganar um usuário para instalar e executar um aplicativo malicioso para explorar o bug e obter privilégios mais altos.
Contudo, essa não é a única vulnerabilidade que foi abordada. Há também uma vulnerabilidade de execução de código no produto Huawei PCManager, que poderia ter sido abusado por invasores para executar código malicioso e ler/gravar memória.
Como a Microsoft descobriu as vulnerabilidades na Huawei?
Iniciando no Windows 10, versão 1809, Kernel do Windows tem novos sensores (Sensores de kernel do Microsoft Defender Advanced Threat Protection) projetado para rastrear a injeção de código APC do usuário iniciada por um código do kernel, que se destinam a detectar ameaças ao kernel, como [wplinkpreview url =”https://sensorstechforum.com/yatron-raas-extension-eternalblue/”] a exploração DOUBLEPULSAR. O DOUBLEPULSAR é um backdoor do kernel usado pelo ransomware WannaCry para injetar a carga útil principal no espaço do usuário.
assim, Equipe de Pesquisa do Microsoft Defender descobriu um motorista ao investigar um alerta gerado por esses sensores. A equipe rastreou o comportamento anômalo a um driver de gerenciamento de dispositivos desenvolvido pela Huawei. Mais tarde, eles encontraram um lapso no design que levou a uma vulnerabilidade que poderia permitir o escalonamento de privilégios locais.
A Microsoft relatou prontamente a vulnerabilidade identificada como CVE-2019-5241 à Huawei, que respondeu rapidamente e em janeiro 9, 2019, uma correção foi lançada.
Quanto à outra vulnerabilidade, CVE-2019-5242, os pesquisadores da Microsoft também descobriram que “o driver forneceu a capacidade de mapear qualquer página física no modo de usuário com permissões RW”:
Invocar esse manipulador permitiu que um código executado com privilégios baixos pudesse ler-escrever além dos limites do processo - para outros processos ou até mesmo para o espaço do kernel. este, claro, significa um comprometimento total da máquina.
As duas vulnerabilidades descobertas em um driver retratam a importância de projetar software e produtos com segurança em mente, Microsoft concluiu.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: