0 day漏洞CVE-2018-8589的新利用
11月13日,微軟釋出了安全公告,修補了我們發現的漏洞。我們於2018年10月17日向Microsoft報告了該漏洞。微軟確認了該漏洞,其ID為CVE-2018-8589。
2018年10月,我們的自動漏洞防護(AEP)系統檢測到試圖利用Microsoft Windows作業系統中的漏洞。進一步分析顯示win32k.sys中存在0 day漏洞。漏洞利用程式由惡意軟體安裝程式的第一階段執行,以獲取維持受害者系統永續性的必要特權。到目前為止,我們已經檢測到利用此漏洞的攻擊次數非常有限。受害者位於中東。
卡巴斯基實驗室產品使用以下技術主動檢測到此漏洞利用:
·端點檢測引擎和自動漏洞防禦技術
·卡巴斯基反目標攻擊平臺(KATA)的高階沙盒和防惡意軟體引擎技術
卡巴斯基實驗室對此攻擊系列中的惡意軟體檢測結果為:
·HEUR:Exploit.Win32.Generic
·HEUR:Trojan.Win32.Generic
·PDM:Exploit.Win32.Generic
有關此攻擊的更多資訊可供卡巴斯基情報報告的客戶使用,請聯絡:[email protected]
技術細節
由於執行緒之間同步傳送的訊息鎖定不當,造成win32k!xxxMoveWindow中存在競爭條件從而造成了CVE-2018-8589漏洞。
該漏洞通過建立具有類和關聯視窗的兩個執行緒來利用,並在兩個執行緒共有的視窗程序中將另一執行緒的視窗移動到WM_NCCALCSIZE訊息的回撥內。
win32k!xxxCalcValidRects中的WM_NCCALCSIZE 訊息
在WM_NCCALCSIZE回撥的最大遞迴級別上終止另一執行緒將導致攻擊者控制的lParam結構的非同步copyin。
win32k!xxxCalcValidRects 和win32k!SfnINOUTNCCALCSIZE之間缺少正確的訊息鎖定
該漏洞利用指向shellcode的指標填充lParam,成功複製到win32k!SfnINOUTNCCALCSIZE的核心後,核心跳轉到使用者級別。在野外發現的漏洞利用只針對32位版本的Windows 7。