Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Deutsch Español Français Italiano Português 日本語 汉语 漢語
Computer Security Uma falha para o Zero-Day Microsoft Flaw quer assumir o...

Uma falha para o Zero-Day Microsoft Flaw quer assumir o controle do seu PC

Por GoldSparrow em Computer Security
Traduzir Para:
Português

exploração de falha de zero dia da Microsoft Pesquisadores de segurança de computadores descobriram recentemente uma exploração maliciosa tentando tirar vantagem de uma vulnerabilidade de dia zero no sistema operacional da Microsoft, permitindo que pessoas de fora tenham acesso elevado a máquinas protegidas. A falha, relacionada ao arquivo win32k.sys, é a quinta vulnerabilidade do Windows desse tipo que a Kaspersky expôs desde outubro de 2018. O problema de segurança agora está corrigido e está seguro desde 10 de abril.

Quais foram os bandidos indo depois?

Depois de receber a notificação sobre a exploração em 17 de março, a Microsoft admitiu ter atribuído um ID CVE-2019-0859 à vulnerabilidade em questão e lançou um patch em 10 de abril. Como é, o win32.k.sys é um Windows interno arquivo capaz de gerenciar processos executados na memória. Não fazer isso cria uma vulnerabilidade de escalonamento de privilégios . Este último permite que um intruso:

  • Contornar a segurança ASLR (Address Space Layout Randomization) do OS, utilizando o recurso HMValidateHandle
  • Obter direitos de administrador.
  • Vá todo o caminho até o próprio kernel.

Parece que os trapaceiros que criaram a exploração queriam assumir o controle de sistemas de computador, principalmente executando o Windows 7 de 64 bits ou o Windows 10 OS.

Infecção em três atos

Assim que o exploit neutraliza a proteção do sistema ASLR, ele realiza um ataque de três estágios:

  • Estágio 1: execução do comando do PowerShell para recuperar um script específico do site de armazenamento do Pastebin.
  • Estágio 2: adicione outro comando de download de script.
  • Estágio 3: Execução do segundo roteiro.

Como resultado, o exploit cria um shell reverso HTTP para proteger a comunicação entre o PC de destino e os invasores. Canais de comunicação seguros, por um lado, combinados com privilégios de administrador, por outro, são tudo o que um estranho precisaria para ter controle efetivo do PC correspondente.

O layout de ataque mencionado acima é típico de um Advanced Persistent Threat (APT), aproveitando os componentes legítimos do Windows para contornar a proteção do administrador. Essa exploração, em particular, implanta o console do Windows PowerShell e o arquivo win32k.sys em uma tentativa de disfarçar sua natureza mal-intencionada, enfatizando ainda mais a necessidade de ferramentas aprimoradas para prevenção e detecção de exploração.

Carregando...