Investigadores de Kaspersky han
descubierto una vulnerabilidad 0-day en Windows 10, la cual ha sido catalogada
con el ID CVE-2019-0859.
¿En
qué consiste esta vulnerabilidad?
Se trata de un fallo de tipo
Use-After-Free en la función del sistema que se encarga de las ventanas de
diálogo. El patrón del exploit, descubierto en activo, se dirigía a los
sistemas operativos de 64 bits (siendo estos los más estandarizados del
mercado) desde Windows 7 hasta los últimos Windows 10.
La explotación de la vulnerabilidad
comentada permite descargar y ejecutar un script malicioso que, en el peor de
los casos, se hace con el control total del ordenador afectado.
Análisis
del caso:
En el ejemplo analizado por los
laboratorios de Kaspersky el exploit ejecutó Powershell con un comando
codificado en base64. El objetivo principal fue descargar una secuencia de
comandos adicionales desde https://pastebin.com/ para ejecutar la siguiente etapa
de la explotación.
Script Powershell de la última étapa
de explotación
El último script en Powershell es muy
simple y hace lo siguiente:
– Desempaqueta shellcode.
– Asigna memoria ejecutable.
– Copia shellcode a la memoria
asignada.
– Llama a CreateThread para ejecutar
shellcode
Shellcode
El objetivo principal del shellcode es
hacer una shell inversa vía HTTP, lo que ayuda al atacante a ganar control
total sobre el sistema de la víctima.
¿Cómo
puedo defenderme ante esta vulnerabilidad?
Afortunadamente los mismos
investigadores que descubrieron este fallo advirtieron a Microsoft que lanzó un
parche el pasado 10 de abril. Por lo que para estar seguro, actualiza tu
sistema a la última versión.
Más
información:
Fuente: Hispasec