APT explota el sistema operativo Windows usando una nueva vulnerabilidad de dia cero

Piratas informaticos comenzaron a explotar el sistema operativo de Microsoft Windows utilizando la vulnerabilidad de día cero de win32k descubierta recientemente que Microsoft reparó recientemente.

Una vulnerabilidad de día cero que reside en win32k.sys permite a los atacantes explotar sistemas operativos de 64 bits en el rango de Windows 8 a Windows 10.

Esta vulnerabilidad (CVE-2019-0797) fue descubierta inicialmente por los investigadores del laboratorio kaspersky que informaron a Microsoft y el parche fijo se publicó en la actualización de seguridad de marzo de 2019.

Una vulnerabilidad de escalada de privilegios que existe en el sistema operativo Windows cuando el componente Win32k no puede manejar correctamente los objetos en la memoria permite que los atacantes ejecuten código arbitrario en modo kernel.

Este nuevo Exploit es utilizado actualmente por varios actores de amenazas de ATP, entre ellos FruityArmor y SandCat, ambos son grupos APT recientemente activos que se dirigen específicamente a las víctimas utilizando exploits de día cero.

Según Costin Raiu, director de investigación global de Kaspersky Lab, “SandCat es un grupo APT relativamente nuevo; los observamos por primera vez en 2018, aunque parece que han existido por algún tiempo ",

El investigador de Kaspersky descubrió esta nueva vulnerabilidad de Windows usando 2 tecnologías diferentes

  • Motor de detección de comportamiento y prevención de explotación automática para productos de punto final
  • Motor avanzado de Sandboxing y Anti Malware para Kaspersky Anti Targeted Attack Platform (KATA)

Nueva vulnerabilidad de día cero (CVE-2019-0797)

Esta vulnerabilidad reside en el controlador win32k debido a una sincronización inadecuada entre dos syscalls no documentados, 1.NtDCompositionDiscardFrame 2.NtDCompositionDestroyConnection

Los investigadores de Kaspersky explicaron que, "el problema radica en el hecho de que cuando se ejecutan las syscalls NtDCompositionDiscardFrame y NtDCompositionDestroyConnection simultáneamente, la función DiscardAllCompositionFrames puede ejecutarse en un momento en que la consola NtDCompositionDiscardFrame ya está buscando un fotograma para liberarlo o ya lo ha encontrado. Esta condición conduce a un escenario de uso después de libre ".

El investigador observó que los atacantes realizaron algunos ataques al explotar esta vulnerabilidad de día cero y todos los usuarios de Windows deben aplicar el parche necesario para evitar este ataque.

Los atacantes están utilizando el proceso de explotación de la misma manera para todas las versiones de SO vulnerables que utilizan paletas de pulverización en pilas para filtrar sus direcciones de núcleo.

Además de eso, el exploit comprueba si se está ejecutando desde Google Chrome y detiene la ejecución si es porque la vulnerabilidad CVE-2019-0797 no se puede explotar dentro de una zona de pruebas. dijo kaspersky.

Todos los usuarios de Windows instados a actualizar su sistema operativo le permiten a Microsoft aplicar los parches para esta vulnerabilidad en su sistema Windows.

Semrush sigue a tu competencia


Fecha actualización el 2019-03-15. Fecha publicación el 2019-03-15. Categoria: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: gbhackers