15/03/2019

CVE-2019-0797: exploity dnia zerowego nadchodzą

Biznes MŚP

Ryzykując, że posądzicie nas o monotonność, jesteśmy zmuszeni przez okoliczności poinformować, że trzy miesiące po odkryciu ostatniej luki dnia zerowego nasze technologie proaktywne wykryły kolejnego exploita dla systemu Windows. Tym razem luka zagraża znacznie większej grupie wersji systemu operacyjnego: 64-bitowego Windows 8 i 10 (aż do kompilacji 15063). Oczywiście powiadomiliśmy o tym firmę Microsoft, a łata została dołączona do aktualizacji systemu udostępnionej 12 marca.

Co ciekawe, mimo nieustannego udostępniania aktualizacji dla bieżących wersji wielu użytkowników nie spieszy się z ich instalacją w obawie o zły wpływ na działanie komputera. Takie podejście „poczekaj i zobacz, co się stanie na innych komputerach” nie jest godne polecenia.

Co to jest CVE-2019-0797?

To czwarty exploit stosujący eskalację uprawnień wykryty w ostatnim czasie przez nasze systemy. Podobnie jak w przypadku luki CVE-2018-8589 jest to błąd polegający na wykonaniu zapytania w czasie krótszym niż weryfikacja warunków danej akcji aplikacji (tzw. race condition) w sterowniku win32k.sys (szczegóły techniczne są dostępne w naszym serwisie SecureList). Wiemy już, że exploit ten został wykorzystany w kilku atakach ukierunkowanych. Umożliwia on potencjalnym atakującym całkowite przejęcie kontroli nad dziurawym systemem.

Jak uniknąć problemów

Nasze porady pozostają niezmienne od dawna:

  • Zainstaluj stosowną aktualizację systemu (dostępną na stronie internetowej Microsoft).
  • Zawsze aktualizuj oprogramowanie (zwłaszcza system operacyjny) do najnowszych wersji, a także zacznij korzystać z nowszego wydania, gdy producent przestanie świadczyć pomoc techniczną dla bieżącego oprogramowania.
  • Korzystaj z produktów zabezpieczających, które wykorzystują technologie analityczne.

Technologie wykorzystanie do wykrycia exploita (zaawansowana piaskownica, ochrona przed atakami ukierunkowanymi, silnik wykrywania na podstawie zachowania, automatyczna ochrona przed exploitami) znajdują się w rozwiązaniu Kaspersky Security for Business.