CVE-2019-0859: уязвимость нулевого дня в Windows

В начале марта наши проактивные защитные технологии выявили попытку эксплуатации уязвимости в Microsoft Windows. Анализ показал, что мы имеем дело с уязвимостью нулевого дня в том самом win32k.sys, где аналогичные проблемы были обнаружены уже четыре раза за последние несколько месяцев. Мы сообщили о найденной проблеме разработчику, и ее успешно закрыли патчем, вышедшим 10 апреля.

Что это такое

CVE-2019-0859 — Use-After-Free-уязвимость системной функции, отвечающей за работу с диалоговыми окнами, а точнее, с их дополнительными стилями. Обнаруженный в дикой природе образец эксплойта был нацелен на 64-битные версии Windows, начиная с Windows 7 и заканчивая поздними сборками Windows 10. В результате эксплуатации уязвимости вредонос может загрузить и выполнить скрипт, написанный злоумышленником, что в худшем из сценариев означает полный контроль над зараженным ПК.

По крайней мере, именно так пыталась использовать CVE-2019-0859 пока неустановленная группа организаторов APT-атаки. При помощи этой уязвимости они получали привилегии, достаточные для установки бэкдора, созданного с использованием Windows PowerShell. В теории, это должно позволить злоумышленникам оставаться в системе незамеченными. Затем через бэкдор подгружалась дальнейшая боевая нагрузка, которая давала киберпреступникам полный доступ к зараженному компьютеру. За подробностями о работе эксплойта можно обратиться на Securelist.

Как защититься

Все методы защиты были перечислены уже не раз, и добавить к ним в общем-то нечего:

• Первым делом установите обновление от Microsoft, закрывающее эту уязвимость.
• Постоянно обновляйте используемое в вашей компании программное обеспечение до актуальных версий, особое внимание уделяйте операционной системе.
• Используйте защитные решения с технологиями поведенческого анализа, которые позволят обнаруживать даже не известные до сих пор угрозы.

Эксплойт для уязвимости CVE-2019-0859 изначально был выявлен при помощи технологий Behavioral detection engine и Automatic Exploit Prevention, которые являются частью нашего решения Kaspersky Endpoint Security for Business.

Если вашим администраторам или безопасникам требуется более глубокое понимание методов, при помощи которых обнаруживаются угрозы нулевого дня в Microsoft Windows, мы рекомендуем посмотреть запись вебинара «Windows zero-days in three months: how we found them in the wild» (доступен только на английском языке).