Οι ερευνητές της ESET πρόσφατα ανακάλυψαν και ανέλυσαν μία τεχνική επίθεσης «0-day» σε μία ιδιαίτερα στοχευμένη επίθεση στην Ανατολική Ευρώπη. Το exploit βασίστηκε στη χρήση μίας ευπάθειας Local Privilege Escalation (LPE) στο λειτουργικό σύστημα των Microsoft Windows. Η ESET ανέφερε αμέσως το ζήτημα στο Κέντρο Απόκρισης Ασφάλειας της Microsoft, το οποίο με τη σειρά του επιδιόρθωσε την ευπάθεια και προχώρησε σε έκδοση σχετικού patch.
Μόνο κάποιες περιορισμένες εκδόσεις των Windows επηρεάζονται από το εν λόγω exploit, καθώς στα Windows 8 και σε νεότερες εκδόσεις, μια διεργασία χρήστη δεν μπορεί να συνδεθεί σε σελίδα NULL, μία παράμετρος που είναι απαραίτητη για να ξεκινήσει και να πετύχει η επίθεση.
Η συγκεκριμένη ευπάθεια Win32k.sys των Windows, όπως και οι άλλες, χρησιμοποιεί το αναδυόμενο μενού. «Για παράδειγμα, στην επίθεση LPE μέσω exploit της ομάδας Sednit που αναλύσαμε το 2017 χρησιμοποιούνταν αντικείμενα του μενού και τεχνικές εκμετάλλευσης, που μοιάζουν πολύ με το τρέχον exploit», εξηγεί ο ερευνητής της ESET Anton Cherepanov, ο οποίος ανακάλυψε την πρόσφατη ευπάθεια.
Η ευπάθεια (CVE-2019-1132) επηρεάζει τα εξής λειτουργικά: Windows 7 Service Pack 1 για συστήματα 32-bit, Windows 7 Service Pack 1 για συστήματα έκδοσης x64, Windows Server 2008 Service Pack 2 για συστήματα 32-bit, Windows Server 2008 Service Pack 2 για συστήματα που βασίζονται σε τεχνολογία Itanium, Windows Server 2008 Service Pack 2 για συστήματα έκδοσης x64, Windows Server 2008 R2 Service Pack 1 για συστήματα βασισμένα σε τεχνολογία Itanium, και Windows Server 2008 R2 Service Pack 1 για συστήματα έκδοσης x64. Επηρεάζονται επίσης τα Windows XP και Windows Server 2003, αλλά αυτές οι εκδόσεις δεν υποστηρίζονται από τη Microsoft.
«Οι χρήστες που εξακολουθούν να χρησιμοποιούν το Windows 7 Service Pack 1 πρέπει να εξετάσουν το ενδεχόμενο αναβάθμισης σε νέα λειτουργικά συστήματα, καθώς η εκτεταμένη υποστήριξη του Windows 7 Service Pack 1 πρόκειται να λήξει στις 14 Ιανουαρίου 2020. Αυτό σημαίνει ότι οι χρήστες των Windows 7 δεν θα λαμβάνουν κρίσιμες ενημερώσεις ασφαλείας» προσθέτει ο Cherepanov.
Περισσότερες τεχνικές λεπτομέρειες σχετικά με το «0-day» exploit βρίσκονται στο άρθρο The CVE-2019-1132 vulnerability used in targeted attack στο WeLiveSecurity.com.