{"id":17179,"date":"2019-04-15T13:15:21","date_gmt":"2019-04-15T11:15:21","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=17179"},"modified":"2020-11-12T19:59:03","modified_gmt":"2020-11-12T17:59:03","slug":"cve-2019-0859-detected","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/cve-2019-0859-detected\/17179\/","title":{"rendered":"CVE-2019-0859: vulnerabilit\u00e0 zero-day su Windows"},"content":{"rendered":"

A inizio marzo scorso, le nostre tecnologie di sicurezza proattive hanno scoperto un tentativo di sfruttamento di una vulnerabilit\u00e0 presente su Microsoft Windows. L\u2019analisi ha evidenziato una vulnerabilit\u00e0 zero-day nel caro, vecchio win32k.sys, dove gi\u00e0 in passato sono state individuate altre quattro vulnerabilit\u00e0. Abbiamo segnalato il problema allo sviluppatore e la vulnerabilit\u00e0 \u00e8 stata risolta con una patch<\/a> pubblicata il 10 aprile scorso.<\/p>\n\n

Con cosa abbiamo a che fare?<\/h3>\n

CVE-2019-0859 \u00e8 una vulnerabilit\u00e0 Use-After-Free<\/a> nella funzione del sistema che gestisce le finestre di dialogo o, per essere pi\u00f9 precisi, che gestisce i loro stili aggiuntivi. Il pattern dell\u2019exploit \u00e8 in the wild<\/a> e colpisce le versioni 64 bit del sistema operativo, da Windows 7 alle ultime versioni di Windows 10. Lo sfruttamento della vulnerabilit\u00e0 consente al malware di scaricare ed eseguire uno script scritto dai cybercriminali e, nella peggiore delle ipotesi, fa s\u00ec che possano prendere il controllo totale del PC infetto.<\/p>\n

O per lo meno \u00e8 ci\u00f2 che ha cercato di fare un gruppo APT non ben identificato. Grazie a questa vulnerabilit\u00e0, i cybercriminali sono riusciti a ottenere le autorizzazioni necessarie per installare una back door creata con Windows PowerShell e, in teoria, tale mossa consente loro di rimanere nell\u2019ombra. Grazie alla back door hanno caricato il payload con il quale hanno ottenuto accesso totale al computer infetto. Per maggiori dettagli sul funzionamento dell\u2019exploit, vi consigliamo il nostro post su Securelist<\/a>.<\/p>\n

Come difendersi<\/h3>\n

Non abbiamo molto da aggiungere, salvo i consigli di sempre:<\/p>\n