CVE-2019-0859: luka dnia zerowego w systemie Windows

Nasze proaktywne technologie zabezpieczające zidentyfikowały próby wykorzystania kolejnej luki dnia zerowego w pliku win32k.sys.

Na początku marca nasze proaktywne technologie zabezpieczające wykryły próbę wykorzystania luki w systemie Microsoft Windows. Przeprowadzona analiza ujawniła lukę dnia zerowego w naszym starym dobrym znajomym – pliku win32k.sys, w którym podobne luki były identyfikowane już czterokrotnie. Problem zgłosiliśmy producentowi systemu, a luka została już wyeliminowana odpowiednią łatą, która została udostępniona 10 kwietnia.

Istota problemu

CVE-2019-0859 to tzw. błąd Use-After-Free w funkcji systemu, która odpowiada za okna dialogowe, a dokładniej za ich dodatkowe style. Zidentyfikowany exploit atakował 64-bitowe wersje tego systemu operacyjnego, począwszy od Windows 7 aż po najnowsze wydanie Windows 10. Dzięki luce szkodliwy program może pobrać i uruchomić utworzony przez atakujących skrypt, co w najgorszym przypadku może skutkować przejęciem pełnej kontroli nad zainfekowanym komputerem.

Tak przynajmniej próbowało ją wykorzystywać jeszcze niezidentyfikowane ugrupowanie APT, które zdobywało w ten sposób wystarczające uprawnienia, aby móc instalować backdoora utworzonego przy użyciu narzędzia Windows PowerShell. Teoretycznie cyberprzestępcy mogli w ten sposób pozostawać w ukryciu. Ta tylna furtka umożliwiała umieszczanie na komputerze szkodliwego programu i uzyskanie nad nim pełnej kontroli. Szczegółowy opis działania exploita znajduje się w serwisie Securelist.

Jak zapewnić sobie bezpieczeństwo

Sposoby ochrony przed taki i zagrożeniami omawialiśmy już wielokrotnie i w tej kwestii niewiele nowego można dodać.

  • Po pierwsze, zainstaluj aktualizację udostępnioną przez firmę Microsoft w celu wyeliminowania luki.
  • Regularnie aktualizuj wszystkie programy wykorzystywane w firmie, a zwłaszcza systemy operacyjne, do najnowszych wersji.
  • Używaj rozwiązań zabezpieczających wykorzystujących technologie analizujące zachowanie, które potrafią wykrywać nawet nieznane zagrożenia.

Exploit dla luki CVE-2019-0859 został zidentyfikowany przez silnik wykrywający szkodliwe aktywności na podstawie zachowania oraz technologię automatycznej ochrony przed exploitami, które wchodzą w skład naszego rozwiązania Kaspersky Endpoint Security for Business.

Jeżeli administratorzy lub dział odpowiedzialny za ochronę informacji chce poznać bardziej szczegółowe informacje na temat sposobów stosowanych do wykrywania zagrożeń dnia zerowego w systemie Microsoft, polecamy obejrzenie nagrania z webinarium pt. Windows zero-days in three months: How we found them in the wild.

Porady