حفره امنیتی zero-day CVE-2018-5483 استفاده شده در حملات هدفمند
1397/07/18
کشف حفره امنیتی zero-day CVE-2018-8611 موجود در هسته اصلی ویندوز
1397/09/21
شرکت مایکروسافت در آخرین پژوهشنامه خود اعلام کرد که (CVE-2018-8589) به عنوان یک حفره امنیتی در بخش win32k.sys وجود داشت که توسط کارشناسان شرکت کسپرسکی در ماه اکتبر شناسایی و به آن شرکت اعلام گردید. شرکت مایکروسافت در تاریخ ۱۷ اکتبر این مطلب تائید کرده و تلاش خود را برای بر طرف کردن آن آغاز نمود و طبق کد گذاری خود کد CVE-2018-8589 را به این حفره امنیتی اختصاص داد.
در اکتبر سال ۲۰۱۸ سیستم خودکار پیشگیری از نفوذ کسپرسکی (AEP) وجود یک حفره امنیتی در سیستم عامل ویندوز را تشخیص داد. در بررسی های بیشتر مشخص شد که این نقص درون win32k.sys قرار دارد. با ورود از طریق این حفره امنیتی یک بد افزار قادر خواهد بود پس از نصب خود دسترسی را تا سطح بالایی افزایش دهد و از حداکثر منابع به راحتی سو استفاده کند.
تعداد کمی از حملات کشف شده از این طریق نشان می دهد که اکثر قربانیان در خاورمیانه قرار دارند.
شرکت کسپرسکی این نقص امنیتی را از طریق راه های زیر تشخیص داده است:
- موتور شناسایی رفتار و جلوگیری از نفوذ خودکار بر روی کلاینت ها
- استفاده از سندباکس پیشرفته و قابلیت ضد تروجان در Kaspersky KATA
جهت دریافت آپدیت های مورد نظر به سایت مایکروسافت مراجعه کنید.
اطلاعات فنی بیشتر
CVE-2018-8589 is a race condition present in win32k!xxxMoveWindow due to improper locking of messages sent synchronously between threads.
The exploit uses the vulnerability by creating two threads with a class and associated window and moves the window of the opposite thread inside the callback of a WM_NCCALCSIZE message in a window procedure that is common to both threads.
WM_NCCALCSIZE message in win32k!xxxCalcValidRects
Termination of the opposite thread on the maximum level of recursion inside the WM_NCCALCSIZE callback will cause asynchronous copyin of the lParam structure controlled by the attacker.
As always, we provided Microsoft with a proof of concept for this vulnerability along with well-written source code.
منبع: Kaspersky
