第180期安全事件
| 英文标题 | New zero-day vulnerability CVE-2019-0859 in win32k.sys |
| 中文标题 | 研究人员披露利用新 0day 漏洞攻击细节 |
| 作者及单位 | Vasily Berdnikov, Boris Larin, Anton Ivanov |
| 内容概述 |
研 究 人 员 在 2019 年 3 月 发 现 尝 试 利 用 win32k.sys 中 0day 漏 洞 的 攻 击。 该 漏 洞 被 分 配 为 CVE-2019-0859, 是 CreateWindowEx 函数中提供的 Use-After-Free 漏洞。 研究人员发现的攻击是针对 64 位版本的 Windows,使用 HMValidateHandle 技术利用该漏洞绕过 ASLR。然后使用 Base64 编码命令执行 PowerShell,该命令的主要目的是从远程下载第二阶段 PowerShell 脚本,接着执行第三阶段 PowerShell 脚本。第三个脚本依次执行解包 shellcode、分配可执行内存、将 shellcode 复制到已分配的内存、调用 CreateThread 来执行 shellcode。shellcode 的主要目的是制作一个简单的 HTTP 反向 shell,有助于攻击者完全控制受害者的系统。 目前该漏洞已在 3 月份的补丁更新中得到修复。 |
| 新闻链接 |
https://securelist.com/new-win32k-zero-day-cve-2019-0859/90435/ |