CYBERSECURITY, SECURITY, SOFTWARE

Exploit Windows pentru atacuri direcționate descoperit de ESET


Exploit-ul abuzează de o vulnerabilitate de tip privilege escalation în Microsoft Windows

Cercetătorii ESET au descoperit și au analizat recent un exploit de tip zero day, utilizat într-un atac direcționat în Europa de Est. Exploit-ul a folosit o vulnerabilitate locală care escaladează privilegiile în Microsoft Windows. ESET a raportat imediat problema la Microsoft Security Response Center, care a reparat vulnerabilitatea și a lansat un patch pentru aceasta.

Vulnerabilitatea afectează următoarele versiuni de Windows:

  • Windows 7 pentru sistemele de 32 de biți Service Pack 1
  • Windows 7 pentru sistemele bazate pe 64 de biți Service Pack 1
  • Windows Server 2008 pentru sistemele de 32 de biți Service Pack 2
  • Windows Server 2008 pentru sistemele bazate pe Itanium Service Pack 2
  • Windows Server 2008 pentru sistemele bazate pe 64 de biți Service Pack 2
  • Windows Server 2008 R2 pentru sistemele bazate pe Itanium Service Pack 1
  • Windows Server 2008 R2 pentru sistemele bazate pe 64 de biți Service Pack 1

Această vulnerabilitate specifică Windows win32k.sys utilizează meniul pop-up pentru implementare. „De exemplu, exploitul de escaladare a privilegiilor locale folosit de grupul Sednit, analizat în 2017, a folosit obiecte de meniu și tehnici de exploatare, care sunt foarte asemănătoare exploit-ului curent“, explică Anton Cherepanov, cercetătorul ESET care a descoperit această vulnerabilitate.

Exploit-ul funcționează numai în cazul versiunilor mai vechi de Windows, întrucât de la versiunea Windows 8 încoace un proces de utilizator nu are permisiunea de a mapa pagina NULL. Microsoft a retro dotat această rezolvare și la Windows 7 pentru sistemele x64.

Persoanele care utilizează în continuare Windows 7 pentru sistemele pe 32 de biți Service Pack 1 ar trebui să aibă în vedere actualizarea la sisteme de operare mai noi, deoarece suportul extins al Windows 7 Service Pack 1 se încheie la data de 14 ianuarie 2020, ceea ce înseamnă că utilizatorii Windows 7 nu vor primi actualizări critice de securitate. Astfel, vulnerabilitățile precum aceasta vor rămâne persistente pentru totdeauna.

Pentru mai multe detalii tehnice despre acest exploit zero-day, citiți articolul semnat de Anton Cherepanov pe blogul ESET despre vulnerabilitatea CVE-2019-1132 folosită în acest atac direcționat.