An Exploit For Zero-Day Microsoft Flaw Wants to Take Control of Your PC

計算機安全研究人員最近發現了一種惡意攻擊，試圖利用微軟Windows操作系統中的零日漏洞，允許外部人員獲得對其他受保護機器的高級訪問權限。這個與win32k.sys文件有關的漏洞是卡巴斯基自2018年10月以來第五次出現這種類型的Windows漏洞。安全問題現已得到修補，自4月10日起一直保持安全。

克魯克人追求的是什麼？

在3月17日收到有關漏洞利用的通知後，微軟承認已為該漏洞分配了一個CVE-2019-0859 ID並於4月10日發布了補丁。實際上，win32.k.sys是一個內部Windows能夠管理在內存中運行的進程的文件。如果不這樣做， 則會產生權限提升漏洞 。後者允許入侵者：

• 利用HMValidateHandle功能，繞過操作系統的地址空間佈局隨機化（ASLR）安全性
• 獲得管理員權限。
• 一直到內核本身。

似乎創建漏洞的騙子想要控制主要運行64位Windows7或Windows 10操作系統的計算機系統。

感染三種行為

一旦漏洞利用中和了系統的ASLR保護，它就會執行三階段攻擊：

• 第1階段：執行PowerShell命令以從Pastebin存儲站點檢索特定腳本。
• 第2階段：添加另一個腳本下載命令。
• 第3階段：執行第二個腳本。

因此，該漏洞會創建一個HTTP反向shell，以保護目標PC和攻擊者之間的通信。一方面，安全的通信渠道與管理員權限相結合，就是局外人需要對相應的PC進行有效控制。

上面提到的攻擊佈局是高級持久威脅（APT）的典型特徵，它利用合法的Windows組件繞過管理員保護。特別是，此漏洞利用Windows PowerShell控制台和win32k.sys文件來試圖掩蓋其惡意性質，從而進一步強調了對漏洞利用預防和檢測的增強工具的需求。