Investigadores de Kaspersky han descubierto una vulnerabilidad 0-day en Windows 10, la cual ha sido catalogada con el ID CVE-2019-0859.
¿En qué consiste esta vulnerabilidad?
Se trata de un fallo de tipo Use-After-Free en la función del sistema que se encarga de las ventanas de diálogo. El patrón del exploit, descubierto en activo, se dirigía a los sistemas operativos de 64 bits (siendo estos los más estandarizados del mercado) desde Windows 7 hasta los últimos Windows 10.
La explotación de la vulnerabilidad comentada permite descargar y ejecutar un script malicioso que, en el peor de los casos, se hace con el control total del ordenador afectado.
Análisis del caso:
En el ejemplo analizado por los laboratorios de Kaspersky el exploit ejecutó Powershell con un comando codificado en base64. El objetivo principal fue descargar una secuencia de comandos adicionales desde https://pastebin.com/ para ejecutar la siguiente etapa de la explotación.
El último script en Powershell es muy simple y hace lo siguiente:
– Desempaqueta shellcode.
– Asigna memoria ejecutable.
– Copia shellcode a la memoria asignada.
– Llama a CreateThread para ejecutar shellcode
El objetivo principal del shellcode es hacer una shell inversa vía HTTP, lo que ayuda al atacante a ganar control total sobre el sistema de la víctima.
¿Cómo puedo defenderme ante esta vulnerabilidad?
Afortunadamente los mismos investigadores que descubrieron este fallo advirtieron a Microsoft que lanzó un parche el pasado 10 de abril. Por lo que para estar seguro, actualiza tu sistema a la última versión.
Más información:
https://www.kaspersky.com/blog/cve-2019-0859-detected/26451/
☛☛ El artículo completo original de Daniel Púa lo puedes ver aquí
No hay comentarios.:
Publicar un comentario