Μία νέα ευπάθεια zero-day, που λειτουργεί ως backdoor, δίνοντας πρόσβαση σε hackers ώστε να μπορούν να πάρουν τον έλεγχο ενός Windows υπολογιστή, ανακοινώθηκε από την Kaspersky Lab.
Η ευπάθεια αυτή ονομάζεται CVE-2019-0895 και χρησιμοποιεί use-after-free attack. Το exploit βρίσκεται στο win32k.sys και παρέχει στους hackers Local Privilege που σημαίνει ότι είναι σε θέση να έχουν πρόσβαση σε πόρους, στους οποίους συνήθως δεν έχουν οι χρήστες.
Πώς λειτουργεί η ευπάθεια;
- Εντοπίζει τη μνήμη
- Φορτώνει το πρόγραμμα στη μνήμη
- Προσθέτει ένα pointer στη μνήμη
Όταν ολοκληρωθεί η διεργασία, η σύνδεση μεταξύ pointer και μνήμης σταματάει και το πρόγραμμα εντός της μνήμης διαγράφεται.
Η ανωμαλία εμφανίζεται όταν το pointer μετατραπεί σε dangling pointer, το οποίο συνεχίζει να δείχνει προς μία συγκεκριμένη μνήμη ακόμη και όταν ολοκληρωθεί η εργασία. Οι hackers εκμεταλλεύονται αυτά τα pointers για την εγκατάσταση προσαρμοσμένων προγραμμάτων, αντικαθιστώντας το υπάρχον πρόγραμμα στην εν λόγω μνήμη με κακόβουλο κώδικα.
Ποιοι επηρεάζονται;
Η επίθεση use-after-free είναι ένας τύπος επίθεσης buffer overflow και τα λειτουργικά συστήματα διαθέτουν ασφάλεια για την αντιμετώπιση τέτοιων ζητημάτων. Τα Windows χρησιμοποιούν το Address Space Layout Randomization (ASLR) για το σκοπό αυτό.
Ωστόσο, η εκμετάλλευση στόχευε τα Windows 7, 8 και παλαιότερες εκδόσεις των 10, με επεξεργαστές 64 bit, χρησιμοποιώντας τεχνική HMValidateHandle και παρακάμπτοντας το ASLR.
Η ευπάθεια zero-day των Windows με λίγα λόγια, επιτρέπει στους hackers να εκτελούν κώδικα στον πυρήνα, δίνοντάς τους έτσι αυξημένη πρόσβαση.
Από τη στιγμή που αναφέρθηκε από την Kaspersky Labs, η Microsoft έχει αναλάβει δράση εναντίον αυτού του τρωτού σημείου και έχει προωθήσει μια ενημέρωση.