17 de abril de 2019

Descubierto 0-day en Windows 10

Investigadores de Kaspersky han descubierto una vulnerabilidad 0-day en Windows 10, la cual ha sido catalogada con el ID CVE-2019-0859.

¿En qué consiste esta vulnerabilidad?

Se trata de un fallo de tipo Use-After-Free en la función del sistema que se encarga de las ventanas de diálogo. El patrón del exploit, descubierto en activo, se dirigía a los sistemas operativos de 64 bits (siendo estos los más estandarizados del mercado) desde Windows 7 hasta los últimos Windows 10.

La explotación de la vulnerabilidad comentada permite descargar y ejecutar un script malicioso que, en el peor de los casos, se hace con el control total del ordenador afectado.

Análisis del caso:

En el ejemplo analizado por los laboratorios de Kaspersky el exploit ejecutó Powershell con un comando codificado en base64. El objetivo principal fue descargar una secuencia de comandos adicionales desde https://pastebin.com/ para ejecutar la siguiente etapa de la explotación.

Script Powershell de la última étapa de explotación

El último script en Powershell es muy simple y hace lo siguiente:
– Desempaqueta shellcode.
– Asigna memoria ejecutable.
– Copia shellcode a la memoria asignada.
– Llama a CreateThread para ejecutar shellcode

Shellcode

El objetivo principal del shellcode es hacer una shell inversa vía HTTP, lo que ayuda al atacante a ganar control total sobre el sistema de la víctima.

¿Cómo puedo defenderme ante esta vulnerabilidad?

Afortunadamente los mismos investigadores que descubrieron este fallo advirtieron a Microsoft que lanzó un parche el pasado 10 de abril. Por lo que para estar seguro, actualiza tu sistema a la última versión.

Más información:
https://www.kaspersky.com/blog/cve-2019-0859-detected/26451/




☛☛ El artículo completo original de Daniel Púa lo puedes ver aquí

No hay comentarios:

Publicar un comentario