Często za załatanie dziur w systemie operacyjnym odpowiadają specjaliści od zabezpieczeń. To oni wyszukują potencjalnych zagrożeń i informują deweloperów o wymaganych poprawkach. Tak było i tym razem – grupa Kaspersky odpowiedzialna za jednego z najbardziej rozpoznawalnych antywirusów poinformowała Microsoft o krytycznym błędzie, który pozwalał hakerom przejąć zupełną kontrolę nad komputerem.
Problem został zgłoszony gigantowi z Redmond 17 marca, a łatka udostępniona została użytkownikom 9 kwietnia. Powodem zagrożenia była luka, przez którą exploit mógł użyć komendy PowerShell, aby pobrać i wykonać skrupy w celu rozpakowania kodu powłoki HTTP, przydzielenia pamięci wykonywalnej, przypisania do niej kodu powłoki i wywołania CreateThread w celu jego wykonania.
Celem tego zabiegu było stworzenie prostej powłoki HTTP, która pomagała atakującemu zyskać pełną kontrolę nad systemem ofiary ataku. Co prawda Microsoft stwierdza, że cyberprzestępcy muszą najpierw zalogować się do systemu ofiary, aby móc wykonywać późniejsze ataki, jednak nadal luka ta pozostaje bardzo groźna.
„W systemie Windows występuje luka w zabezpieczeniach podniesienia uprawnień, gdy składnik Win32k nie obsługuje poprawnie obiektów w pamięci. Osoba atakująca, której uda się wykorzystać tę lukę, może uruchomić dowolny kod w trybie jądra. Osoba atakująca może następnie zainstalować programy; przeglądać, zmieniać lub usuwać dane; lub twórz nowe konta z pełnymi prawami użytkownika” – mówi Microsoft.
Kaspersky zaznacza, że ta luka zero day została aktywnie wykorzystana, jednak żadna z grup odpowiedzialnych za atak nie podzieliła się szczegółami. Błąd został naprawiony w aktualizacji CVE-2019-0859 z dnia 9 kwietnia i zaleca się jak najszybsze jej zainstalowanie.
Źródło: Secure List via Instalki.pl