Licenze multi-dispositivo (sconti per quantità)

Cambia regione

English Deutsch Español Français Italiano Português 日本語 汉语 漢語
Computer Security Un exploit per Zero-Day Microsoft Flaw vuole prendere il...

Un exploit per Zero-Day Microsoft Flaw vuole prendere il controllo del tuo PC

Entro GoldSparrow nel Computer Security
Traduci in:
Italiano

zero day microsoft flaw exploit I ricercatori di sicurezza informatica hanno recentemente scoperto un exploit dannoso che cerca di sfruttare una vulnerabilità zero-day nel sistema operativo Windows di Microsoft consentendo agli estranei di ottenere un accesso elevato alle macchine altrimenti protette. Il difetto, che si riferisce al file win32k.sys, è la quinta vulnerabilità di Windows di questo tipo che Kaspersky ha esposto a partire da ottobre 2018. Il problema di sicurezza è ora stato risolto ed è sicuro dal 10 aprile.

Cosa stavano seguendo i truffatori?

Dopo aver ricevuto la notifica sul exploit il 17 marzo, Microsoft ha ammesso di aver assegnato un ID CVE-2019-0859 alla vulnerabilità in questione e rilasciato una patch il 10 aprile. Così com è, win32.k.sys è un Windows interno file in grado di gestire i processi eseguiti in memoria. In caso contrario, si crea una vulnerabilità di escalation dei privilegi . Quest ultimo consente a un intruso di:

  • Evitare la sicurezza ASLR (Address Space Layout Randomization) del sistema operativo utilizzando la funzione HMValidateHandle
  • Ottieni i diritti di amministratore.
  • Vai fino al kernel stesso.

Sembra che i criminali che hanno creato exploit volevano assumere il controllo dei sistemi informatici che utilizzavano principalmente Windows7 a 64 bit o Windows 10.

Infezione in tre atti

Non appena exploit ha neutralizzato la protezione ASLR del sistema, esegue un attacco a tre fasi:

  • Fase 1: esecuzione del comando PowerShell per recuperare uno script specifico dal sito di archiviazione Pastebin.
  • Fase 2: aggiungere un altro comando di download dello script.
  • Fase 3: esecuzione del secondo script.

Di conseguenza, exploit crea una shell inversa HTTP per proteggere la comunicazione tra il PC di destinazione e gli aggressori. I canali di comunicazione protetti, da un lato, combinati con i privilegi di amministratore, dal altro, è tutto ciò che un estraneo avrebbe bisogno di assumere un controllo efficace del PC corrispondente.

Il layout di attacco sopra menzionato è tipico di Advanced Persistent Threat (APT) che sfrutta i legittimi componenti di Windows per aggirare la protezione del amministratore. Questo exploit, in particolare, distribuisce la console di Windows PowerShell e il file win32k.sys nel tentativo di mascherare la sua natura dannosa, enfatizzando ulteriormente la necessità di strumenti avanzati per la prevenzione e il rilevamento degli exploit.

Caricamento in corso...