Microsoft korjaa nollapäivän Windows 10:n hyväksikäytön kohdistetuissa hyökkäyksissä

Viimeisimmässä kumulatiivisessa päivityksessä Microsoft on korjannut Kasperskyn elokuussa 10 löytämän ja raportoiman Windows 2018:n haavoittuvuuden, jota käytettiin hyvin kohdistetuissa hyökkäyksissä Lähi-idässä.

Microsoft kirjoittaa:

CVE-2018-8453 | Win32k Elevation of Privilege -haavoittuvuus

Windowsissa on käyttöoikeuksien korotushaavoittuvuus, kun Win32k-komponentti ei pysty käsittelemään muistissa olevia objekteja oikein. Tätä haavoittuvuutta onnistuneesti hyödyntänyt hyökkääjä voi suorittaa mielivaltaisen koodin ydintilassa. Hyökkääjä voi sitten asentaa ohjelmia; tarkastella, muuttaa tai poistaa tietoja; tai luo uusia tilejä kaikilla käyttöoikeuksilla.

Hyödyntääkseen tätä haavoittuvuutta hyökkääjän on ensin kirjauduttava järjestelmään. Hyökkääjä voi sitten suorittaa erityisesti muodostetun sovelluksen, joka voi hyödyntää haavoittuvuutta ja ottaa järjestelmän hallintaansa.

Päivitys korjaa tämän haavoittuvuuden korjaamalla tavan, jolla Win32k käsittelee muistissa olevia objekteja.

Kaspersky uskoo, että hakkeriryhmä FruityArmor käytti hyväksikäyttöä ja toteaa, että "hyväksikäytön koodi on korkealaatuinen ja kirjoitettu tavoitteena hyödyntää luotettavasti mahdollisimman monia erilaisia ​​MS Windows -versioita, mukaan lukien MS Windows 10 RS4."

Kaspersky Lab sanoo havainneensa hyväksikäytön ennakoivasti seuraavien tekniikoiden avulla:

• Käyttäytymisen tunnistusmoottori ja automaattinen hyväksikäytön esto päätepisteille
• Kehittynyt hiekkalaatikko- ja haittaohjelmien torjuntamoottori Kaspersky Anti Targeted Attack Platform (KATA) -alustalle

Koska Lähi-idässä tunnetaan vain muutamia uhreja korkealaatuisella hyväksikäytöllä, näyttää todennäköiseltä, että hyökkäykset ovat valtion tukemia, mutta Kaspersky huomauttaa, että uhrien määrä on liian pieni tietääkseen varmasti, mikä yleinen malli on.

Lue kaikki yksityiskohdat Kasperskyssä täällä.