vulnerabilità

CVE-2019-0859: vulnerabilità zero-day su Windows

Le nostre tecnologie di sicurezza hanno scoperto un tentativo di sfruttamento di un’altra vulnerabilità zero-day in win32k.sys.

Pavel Shoshin
15 Apr 2019

A inizio marzo scorso, le nostre tecnologie di sicurezza proattive hanno scoperto un tentativo di sfruttamento di una vulnerabilità presente su Microsoft Windows. L’analisi ha evidenziato una vulnerabilità zero-day nel caro, vecchio win32k.sys, dove già in passato sono state individuate altre quattro vulnerabilità. Abbiamo segnalato il problema allo sviluppatore e la vulnerabilità è stata risolta con una patch pubblicata il 10 aprile scorso.

Con cosa abbiamo a che fare?

CVE-2019-0859 è una vulnerabilità Use-After-Free nella funzione del sistema che gestisce le finestre di dialogo o, per essere più precisi, che gestisce i loro stili aggiuntivi. Il pattern dell’exploit è in the wild e colpisce le versioni 64 bit del sistema operativo, da Windows 7 alle ultime versioni di Windows 10. Lo sfruttamento della vulnerabilità consente al malware di scaricare ed eseguire uno script scritto dai cybercriminali e, nella peggiore delle ipotesi, fa sì che possano prendere il controllo totale del PC infetto.

O per lo meno è ciò che ha cercato di fare un gruppo APT non ben identificato. Grazie a questa vulnerabilità, i cybercriminali sono riusciti a ottenere le autorizzazioni necessarie per installare una back door creata con Windows PowerShell e, in teoria, tale mossa consente loro di rimanere nell’ombra. Grazie alla back door hanno caricato il payload con il quale hanno ottenuto accesso totale al computer infetto. Per maggiori dettagli sul funzionamento dell’exploit, vi consigliamo il nostro post su Securelist.

Come difendersi

Non abbiamo molto da aggiungere, salvo i consigli di sempre:

Innanzitutto, installate l’aggiornamento da Microsoft per risolvere la vulnerabilità;
Aggiornate periodicamente all’ultima versione tutti i software utilizzati dalla vostra azienda, sistemi operativi in particolare;
Avvaletevi di soluzioni di sicurezza dotate di tecnologie di analisi comportamentale per identificare le minacce non ancora conosciute.

L’exploit della vulnerabilità CVE-2019-0859 è stato identificato dalle nostre tecnologie Motore di analisi comportamentale e Automatic Exploit Prevention che fanno parte della nostra soluzione Kaspersky Endpoint Security for Business.

Se i vostri amministratori di sistema o il vostro team che si occupa della sicurezza informatica vogliono sapere di più sui metodi che impieghiamo per identificare le minacce zero-day su Microsoft, consigliamo loro di dare un’occhiata alla registrazione del nostro webinar in lingua inglese Windows zero-days in three months: How we found them in the wild.

Microsoft Office e le sue vulnerabilità

Alla conferenza SAS 2019 si è parlato del panorama delle minacce di Microsoft Office e delle tecnologie che aiutano a individuare i relativi exploit zero-day.

Privacy e bambini

SOLUZIONI TARGETED SECURITY

ENTERPRISE SOLUTIONS

CVE-2019-0859: vulnerabilità zero-day su Windows

Con cosa abbiamo a che fare?

Come difendersi

KeyTrap: come violare un server DNS con un solo pacchetto dannoso

Pubblicata una vulnerabilità nella libreria Glibc

Microsoft Office e le sue vulnerabilità

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Iscriviti per ricevere le nostre notizie via e-mail

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia