11月13日,微软发布了安全公告,修补了我们发现的漏洞。我们于2018年10月17日向Microsoft报告了该漏洞。微软确认了该漏洞,其ID为CVE-2018-8589。
2018年10月,我们的自动漏洞防护(AEP)系统检测到试图利用Microsoft Windows操作系统中的漏洞。进一步分析显示win32k.sys中存在0 day漏洞。漏洞利用程序由恶意软件安装程序的第一阶段执行,以获取维持受害者系统持久性的必要特权。到目前为止,我们已经检测到利用此漏洞的攻击次数非常有限。受害者位于中东。
卡巴斯基实验室产品使用以下技术主动检测到此漏洞利用:
·端点检测引擎和自动漏洞防御技术
·卡巴斯基反目标攻击平台(KATA)的高级沙盒和防恶意软件引擎技术
卡巴斯基实验室对此攻击系列中的恶意软件检测结果为:
·HEUR:Exploit.Win32.Generic
·HEUR:Trojan.Win32.Generic
·PDM:Exploit.Win32.Generic
有关此攻击的更多信息可供卡巴斯基情报报告的客户使用,请联系:[email protected]
技术细节
由于线程之间同步发送的消息锁定不当,造成win32k!xxxMoveWindow中存在竞争条件从而造成了CVE-2018-8589漏洞。
该漏洞通过创建具有类和关联窗口的两个线程来利用,并在两个线程共有的窗口进程中将另一线程的窗口移动到WM_NCCALCSIZE消息的回调内。
win32k!xxxCalcValidRects中的WM_NCCALCSIZE 消息
在WM_NCCALCSIZE回调的最大递归级别上终止另一线程将导致攻击者控制的lParam结构的异步copyin。
win32k!xxxCalcValidRects 和win32k!SfnINOUTNCCALCSIZE之间缺少正确的消息锁定
该漏洞利用指向shellcode的指针填充lParam,成功复制到win32k!SfnINOUTNCCALCSIZE的内核后,内核跳转到用户级别。在野外发现的漏洞利用只针对32位版本的Windows 7。
使用我们的poc在最新版本的Windows 7上触发BSOD
与以往一样,我们向Microsoft提供了此漏洞的PoC及源代码。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 如何做好漏洞管理的漏洞修复工作
- 漏洞预警 | ThinkPHP5远程命令执行漏洞
- 漏洞预警 | MetInfo最新版本爆出SQL注入漏洞
- 通过关键字获取漏洞平台最新漏洞信息
- [浏览器安全漏洞一] dll劫持漏洞
- 宝塔漏洞 XSS窃取宝塔面板管理员漏洞高危
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
程序员代码面试指南:IT名企算法与数据结构题目最优解
左程云 / 电子工业出版社 / 2015-9 / 79.00元
这是一本程序员面试宝典!书中对IT名企代码面试各类题目的最优解进行了总结,并提供了相关代码实现。针对当前程序员面试缺乏权威题目汇总这一痛点,本书选取将近200道真实出现过的经典代码面试题,帮助广大程序员的面试准备做到万无一失。“刷”完本书后,你就是“题王”!__eol__本书采用题目+解答的方式组织内容,并把面试题类型相近或者解法相近的题目尽量放在一起,读者在学习本书时很容易看出面试题解法之间的联......一起来看看 《程序员代码面试指南:IT名企算法与数据结构题目最优解》 这本书的介绍吧!