第180期安全事件
| 英文標(biāo)題 | New zero-day vulnerability CVE-2019-0859 in win32k.sys |
| 中文標(biāo)題 | 研究人員披露利用新 0day 漏洞攻擊細(xì)節(jié) |
| 作者及單位 | Vasily Berdnikov, Boris Larin, Anton Ivanov |
| 內(nèi)容概述 |
研 究 人 員 在 2019 年 3 月 發(fā) 現(xiàn) 嘗 試 利 用 win32k.sys 中 0day 漏 洞 的 攻 擊。 該 漏 洞 被 分 配 為 CVE-2019-0859, 是 CreateWindowEx 函數(shù)中提供的 Use-After-Free 漏洞。 研究人員發(fā)現(xiàn)的攻擊是針對(duì) 64 位版本的 Windows,使用 HMValidateHandle 技術(shù)利用該漏洞繞過 ASLR。然后使用 Base64 編碼命令執(zhí)行 PowerShell,該命令的主要目的是從遠(yuǎn)程下載第二階段 PowerShell 腳本,接著執(zhí)行第三階段 PowerShell 腳本。第三個(gè)腳本依次執(zhí)行解包 shellcode、分配可執(zhí)行內(nèi)存、將 shellcode 復(fù)制到已分配的內(nèi)存、調(diào)用 CreateThread 來執(zhí)行 shellcode。shellcode 的主要目的是制作一個(gè)簡(jiǎn)單的 HTTP 反向 shell,有助于攻擊者完全控制受害者的系統(tǒng)。 目前該漏洞已在 3 月份的補(bǔ)丁更新中得到修復(fù)。 |
| 新聞鏈接 |
https://securelist.com/new-win32k-zero-day-cve-2019-0859/90435/ |