首页 >> 网络安全 >>零日漏洞 >> 针对零日漏洞的新漏洞CVE-2018-8589
详细内容

针对零日漏洞的新漏洞CVE-2018-8589

昨天,微软发布了安全公告,修补了我们的技术发现的漏洞。我们于2018年10月17日向Microsoft报告了该公司。该公司确认了该漏洞并将其分配给CVE-2018-8589。

1.png

在2018年10月,我们的自动漏洞防护(AEP)系统检测到试图利用Microsoft Windows操作系统中的漏洞。进一步分析显示win32k.sys中存在零日漏洞。漏洞利用程序由恶意软件安装程序的第一阶段执行,以获得持久性对受害者系统的必要特权。到目前为止,我们已经检测到使用此漏洞的攻击数量非常有限。受害者位于中东。


卡巴斯基实验室产品使用以下技术主动检测到此漏洞利用:

  • 端点的行为检测引擎和自动漏洞预防

  • 卡巴斯基反目标攻击平台(KATA)的高级沙盒和反恶意软件引擎


卡巴斯基实验室对此广告系列中的工件进行了判断:

  • HEUR:Exploit.Win32.Generic

  • HEUR:Trojan.Win32.Generic

  • PDM:Exploit.Win32.Generic

有关此攻击的更多信息可供卡巴斯基情报报告的客户使用。联系方式:intelreports@kaspersky.com


技术细节

CVE-2018-8589是win32k!xxxMoveWindow中存在的竞争条件,因为线程之间同步发送的消息锁定不当。


该漏洞通过创建具有类和关联窗口的两个线程来使用该漏洞,并在两个线程共有的窗口过程中将相反线程的窗口移动到WM_NCCALCSIZE消息的回调内。

1.png

win32k中的WM_NCCALCSIZE消息!xxxCalcValidRects

在WM_NCCALCSIZE回调内的最大递归级别上终止相反的线程将导致由攻击者控制的lParam结构的异步copyin。

6.png


该漏洞利用指向shellcode的指针填充lParam,并在成功复制到win32k内部的内核之后!SfnINOUTNCCALCSIZE,内核跳转到用户级别。在野外发现的漏洞只针对32位版本的Windows 7。

2.png

使用我们的概念验证,在最新版本的Windows 7上进行BSO

与往常一样,我们为Microsoft提供了此漏洞的概念证明以及编写良好的源代码。

技术支持: 建站ABC | 管理登录