Stiri

ESET a descoperit un exploit Windows folosit în atacuri direcționate

eset

În iunie 2019, cercetătorii ESET au identificat un exploit de tip zero day, utilizat într-un atac direcționat din Europa de Est.

Exploit-ul abuzează de o vulnerabilitate locală de tip privilege escalation în Microsoft Windows, în special o dereferență a indicatorului NULL în componenta win32k.sys. Odată ce exploit-ul a fost descoperit și analizat, acesta a fost raportat către Microsoft Security Response Center, care a reparat imediat vulnerabilitatea și a lansat un patch pentru aceasta.

Exploit-ul are impact numai asupra anumitor versiuni ale Windows, deoarece în Windows 8 și versiunile ulterioare nu este permis unui proces de utilizator să mapeze pagina NULL, acțiune necesară pentru lansarea și concretizarea atacului.

Vulnerabilitatea afectează următoarele versiuni de Windows:

  • Windows 7 pentru sistemele de 32 de biți Service Pack 1
  • Windows 7 pentru sistemele bazate pe 64 de biți Service Pack 1
  • Windows Server 2008 pentru sistemele de 32 de biți Service Pack 2
  • Windows Server 2008 pentru sistemele bazate pe Itanium Service Pack 2
  • Windows Server 2008 pentru sistemele bazate pe 64 de biți Service Pack 2
  • Windows Server 2008 R2 pentru sistemele bazate pe Itanium Service Pack 1
  • Windows Server 2008 R2 pentru sistemele bazate pe 64 de biți Service Pack 1
  • Această vulnerabilitate specifică Windows win32k.sys utilizează meniul pop-up pentru implementare.

    „De exemplu, exploitul de escaladare a privilegiilor locale folosit de grupul Sednit, pe care l-am analizat în 2017, a folosit obiecte de meniu și tehnici de exploatare, care sunt foarte asemănătoare exploit-ului curent”, explică Anton Cherepanov, cercetătorul ESET care a descoperit această vulnerabilitate.

    Concluzii

    Exploit-ul funcționează numai în cazul versiunilor mai vechi de Windows, întrucât de la versiunea Windows 8 încoace un proces de utilizator nu are permisiunea de a mapa pagina NULL. Microsoft a retro dotat această rezolvare și la Windows 7 pentru sistemele x64.

    Persoanele care utilizează în continuare Windows 7 pentru sistemele pe 32 de biți Service Pack 1 ar trebui să aibă în vedere actualizarea la sisteme de operare mai noi, deoarece suportul extins al Windows 7 Service Pack 1 se încheie la data de 14 ianuarie 2020, ceea ce înseamnă că utilizatorii Windows 7 nu vor primi actualizări critice de securitate. Astfel, vulnerabilitățile precum aceasta vor rămâne persistente pentru totdeauna.

    To Top