CVE-2019-0859 вразливість нульового дня в Windows

cve 2019 0859

Нещодавно було виявлено нову вразливість в Microsoft Windows. Аналіз показав, що це вразливість нульового дня в win32k.sys, де аналогічні проблеми були виявлені вже чотири рази за останні кілька місяців. Microsoft успішно закрив її патчем, який вийшов 10 квітня.

Що це таке?

CVE-2019-0859 (Use-After-Free) - вразливість системної функції, що відповідає за роботу з діалоговими вікнами, а точніше, з їх додатковими стилями. Виявлений зразок експлойта був націлений на 64-бітові версії Windows, починаючи з Windows 7 і закінчуючи останніми оновленнями Windows 10.
За допомогою цієї вразливості можна отримати необхідний рівень привілеїв для установки бекдора, написаного на PowerShell. Це дозволить зловмисникам залишатися в системі непоміченими. Потім через бекдор вони завантажують вірус, який надає повний контроль над зараженим комп'ютером.

powershell script

Третій етап PowerShell скрипта

Скрипт виконує наступне:

• Розпаковує shellcode
• Виділяє виконувану пам'ять
• Копіює shellcode у виділену пам'ять
• Викликає CreateThread для виконання shellcode

shellcode from powershell

Shellcode з PowerShell скрипта

Як захиститися?

• Насамперед встановіть оновлення від Microsoft, що закриває цю вразливість.
• Постійно оновлюйте програмне забезпечення у вашій компанії, організації до актуальних версій, особливу увагу приділяйте операційній системі.
• Використовуйте захисні рішення з технологіями поведінкового аналізу, які дозволять виявляти навіть невідомі досі загрози.

Експлойт для вразливості CVE-2019-0859 був виявлений за допомогою технологій Behavioral detection engine і Automatic Exploit Prevention.

Джерело: Microsoft