An Exploit For Zero-Day Microsoft Flaw Wants to Take Control of Your PC

计算机安全研究人员最近发现了一种恶意攻击，试图利用微软Windows操作系统中的零日漏洞，允许外部人员获得对其他受保护机器的高级访问权限。这个与win32k.sys文件有关的漏洞是卡巴斯基自2018年10月以来第五次出现这种类型的Windows漏洞。安全问题现已得到修补，自4月10日起一直保持安全。

克鲁克人追求的是什么？

在3月17日收到有关漏洞利用的通知后，微软承认已为该漏洞分配了CVE-2019-0859 ID并于4月10日发布了补丁。实际上，win32.k.sys是一个内部Windows能够管理在内存中运行的进程的文件。如果不这样做， 则会产生权限提升漏洞 。后者允许入侵者：

• 利用HMValidateHandle功能，绕过操作系统的地址空间布局随机化（ASLR）安全性
• 获得管理员权限。
• 一直到内核本身。

似乎创建漏洞的骗子想要控制主要运行64位Windows7或Windows 10操作系统的计算机系统。

感染三种行为

一旦漏洞利用中和了系统的ASLR保护，它就会执行三阶段攻击：

• 第1阶段：执行PowerShell命令以从Pastebin存储站点检索特定脚本。
• 第2阶段：添加另一个脚本下载命令。
• 第3阶段：执行第二个脚本。

因此，该漏洞会创建一个HTTP反向shell，以保护目标PC和攻击者之间的通信。一方面，安全的通信渠道与管理员权限相结合，就是局外人需要对相应的PC进行有效控制。

上面提到的攻击布局是高级持久威胁（APT）的典型特征，它利用合法的Windows组件绕过管理员保护。特别是，此漏洞利用Windows PowerShell控制台和win32k.sys文件来试图掩盖其恶意性质，从而进一步强调需要增强的漏洞利用预防和检测工具。