CVE-2019-0859: vulnerabilità zero-day su Windows

Le nostre tecnologie di sicurezza hanno scoperto un tentativo di sfruttamento di un’altra vulnerabilità zero-day in win32k.sys.

A inizio marzo scorso, le nostre tecnologie di sicurezza proattive hanno scoperto un tentativo di sfruttamento di una vulnerabilità presente su Microsoft Windows. L’analisi ha evidenziato una vulnerabilità zero-day nel caro, vecchio win32k.sys, dove già in passato sono state individuate altre quattro vulnerabilità. Abbiamo segnalato il problema allo sviluppatore e la vulnerabilità è stata risolta con una patch pubblicata il 10 aprile scorso.

Con cosa abbiamo a che fare?

CVE-2019-0859 è una vulnerabilità Use-After-Free nella funzione del sistema che gestisce le finestre di dialogo o, per essere più precisi, che gestisce i loro stili aggiuntivi. Il pattern dell’exploit è in the wild e colpisce le versioni 64 bit del sistema operativo, da Windows 7 alle ultime versioni di Windows 10. Lo sfruttamento della vulnerabilità consente al malware di scaricare ed eseguire uno script scritto dai cybercriminali e, nella peggiore delle ipotesi, fa sì che possano prendere il controllo totale del PC infetto.

O per lo meno è ciò che ha cercato di fare un gruppo APT non ben identificato. Grazie a questa vulnerabilità, i cybercriminali sono riusciti a ottenere le autorizzazioni necessarie per installare una back door creata con Windows PowerShell e, in teoria, tale mossa consente loro di rimanere nell’ombra. Grazie alla back door hanno caricato il payload con il quale hanno ottenuto accesso totale al computer infetto. Per maggiori dettagli sul funzionamento dell’exploit, vi consigliamo il nostro post su Securelist.

Come difendersi

Non abbiamo molto da aggiungere, salvo i consigli di sempre:

  • Innanzitutto, installate l’aggiornamento da Microsoft per risolvere la vulnerabilità;
  • Aggiornate periodicamente all’ultima versione tutti i software utilizzati dalla vostra azienda, sistemi operativi in particolare;
  • Avvaletevi di soluzioni di sicurezza dotate di tecnologie di analisi comportamentale per identificare le minacce non ancora conosciute.

L’exploit della vulnerabilità CVE-2019-0859 è stato identificato dalle nostre tecnologie Motore di analisi comportamentale e Automatic Exploit Prevention che fanno parte della nostra soluzione Kaspersky Endpoint Security for Business.

Se i vostri amministratori di sistema o il vostro team che si occupa della sicurezza informatica vogliono sapere di più sui metodi che impieghiamo per identificare le minacce zero-day su Microsoft, consigliamo loro di dare un’occhiata alla registrazione del nostro webinar in lingua inglese Windows zero-days in three months: How we found them in the wild.

Consigli