0 day漏洞CVE-2018-8589的新利用

11月13日，微軟釋出了安全公告，修補了我們發現的漏洞。我們於2018年10月17日向Microsoft報告了該漏洞。微軟確認了該漏洞，其ID為CVE-2018-8589。

2018年10月，我們的自動漏洞防護（AEP）系統檢測到試圖利用Microsoft Windows作業系統中的漏洞。進一步分析顯示win32k.sys中存在0 day漏洞。漏洞利用程式由惡意軟體安裝程式的第一階段執行，以獲取維持受害者系統永續性的必要特權。到目前為止，我們已經檢測到利用此漏洞的攻擊次數非常有限。受害者位於中東。

卡巴斯基實驗室產品使用以下技術主動檢測到此漏洞利用：

·端點檢測引擎和自動漏洞防禦技術

·卡巴斯基反目標攻擊平臺（KATA）的高階沙盒和防惡意軟體引擎技術

卡巴斯基實驗室對此攻擊系列中的惡意軟體檢測結果為：

·HEUR:Exploit.Win32.Generic

·HEUR:Trojan.Win32.Generic

·PDM:Exploit.Win32.Generic

有關此攻擊的更多資訊可供卡巴斯基情報報告的客戶使用，請聯絡：[email protected]

技術細節

由於執行緒之間同步傳送的訊息鎖定不當，造成win32k！xxxMoveWindow中存在競爭條件從而造成了CVE-2018-8589漏洞。

該漏洞通過建立具有類和關聯視窗的兩個執行緒來利用，並在兩個執行緒共有的視窗程序中將另一執行緒的視窗移動到WM_NCCALCSIZE訊息的回撥內。

win32k!xxxCalcValidRects中的WM_NCCALCSIZE 訊息

在WM_NCCALCSIZE回撥的最大遞迴級別上終止另一執行緒將導致攻擊者控制的lParam結構的非同步copyin。

win32k!xxxCalcValidRects 和win32k!SfnINOUTNCCALCSIZE之間缺少正確的訊息鎖定

該漏洞利用指向shellcode的指標填充lParam，成功複製到win32k!SfnINOUTNCCALCSIZE的核心後，核心跳轉到使用者級別。在野外發現的漏洞利用只針對32位版本的Windows 7。