0 day漏洞CVE-2018-8589的新利用 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

0 day漏洞CVE-2018-8589的新利用

申博_安全防护 申博 163次浏览 已收录 0个评论

11月13日,微软发布了安全公告,修补了我们发现的漏洞。我们于2018年10月17日向Microsoft报告了该漏洞。微软确认了该漏洞,其ID为CVE-2018-8589。

0 day漏洞CVE-2018-8589的新利用 0 day漏洞CVE-2018-8589的新利用

2018年10月,我们的自动漏洞防护(AEP)系统检测到试图利用Microsoft Windows操作系统中的漏洞。进一步分析显示win32k.sys中存在0 day漏洞。漏洞利用程序由恶意软件安装程序的第一阶段执行,以获取维持受害者系统持久性的必要特权。到目前为止,我们已经检测到利用此漏洞的攻击次数非常有限。受害者位于中东。

卡巴斯基实验室产品使用以下技术主动检测到此漏洞利用:

· 端点检测引擎和自动漏洞防御技术

· 卡巴斯基反目标攻击平台(KATA)的高级沙盒和防恶意软件引擎技术

卡巴斯基实验室对此攻击系列中的恶意软件检测结果为:

· HEUR:Exploit.Win32.Generic

· HEUR:Trojan.Win32.Generic

· PDM:Exploit.Win32.Generic

有关此攻击的更多信息可供卡巴斯基情报报告的客户使用,请联系:intelreports@kaspersky.com

黑客工具

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体.

技术细节

由于线程之间同步发送的消息锁定不当,造成win32k!xxxMoveWindow中存在竞争条件从而造成了CVE-2018-8589漏洞。

该漏洞通过创建具有类和关联窗口的两个线程来利用,并在两个线程共有的窗口进程中将另一线程的窗口移动到WM_NCCALCSIZE消息的回调内。

0 day漏洞CVE-2018-8589的新利用 0 day漏洞CVE-2018-8589的新利用

win32k!xxxCalcValidRects中的WM_NCCALCSIZE 消息

在WM_NCCALCSIZE回调的最大递归级别上终止另一线程将导致攻击者控制的lParam结构的异步copyin。

0 day漏洞CVE-2018-8589的新利用 0 day漏洞CVE-2018-8589的新利用

win32k!xxxCalcValidRects 和win32k!SfnINOUTNCCALCSIZE之间缺少正确的消息锁定

该漏洞利用指向shellcode的指针填充lParam,成功复制到win32k!SfnINOUTNCCALCSIZE的内核后,内核跳转到用户级别。在野外发现的漏洞利用只针对32位版本的Windows 7。

0 day漏洞CVE-2018-8589的新利用 0 day漏洞CVE-2018-8589的新利用

使用我们的poc在最新版本的Windows 7上触发BSOD

与以往一样,我们向Microsoft提供了此漏洞的PoC及源代码。

本文翻译自 https://securelist.com/a-new-exploit-for-zero-day-vulnerability-cve-2018-8589/88845/ 如若转载,请注明原文地址: http://www.4hou.com/technology/14616.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明0 day漏洞CVE-2018-8589的新利用
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址