Náš výzkumný tým odhalil a analyzoval tzv. zero day exploit, který byl zneužitý pro vysoce cílené útoky ve východní Evropě. Útočníci zneužili k získání systémových oprávnění chybu v ovladači jádra win32k.sys.
Jako zero day exploit se označuje útok, který využívá zranitelnost systému počítače, která ještě není známá, a tudíž na ni neexistuje bezpečností oprava od vývojáře.
O chybě jsme informovali bezpečnostní centrum společnosti Microsoft, které již vydalo aktualizaci systému s opravou. Spuštěním běžné aplikace dokázali útočníci získat nejvyšší systémová oprávnění a ovládnout tak kompletně napadené zařízení.
Zranitelné jsou systémy Windows 7 a starší
Zmíněná zranitelnost se týká jen starších verzí systému Windows bez patřičné záplaty win32k.sys. Ve Windows 8 a novějších již existuje bezpečnostní mechanismus, který zamezuje uživatelskému procesu alokovat tzv. NULL paměťovou stránku.
Právě takováto alokace umožní útok provést. Prostředkem pro provedení útoku jsou API funkce Windows sloužící pro vytváření a práci s kontextovými nabídkami (pop-up menu).
Jakých verzí operačního systému se zranitelnost týká?
Zranitelnost s označením CVE-2019-1132 ovlivňuje následující verze operačních systémů společnosti Microsoft:
- Windows 7 32-bit Systems Service Pack 1,
- Windows 7 x64-Based Systems Service Pack 1,
- Windows Server 2008 32-bit Systems Service Pack 2,
- Windows Server 2008 Itanium-Based Systems Service Pack 2,
- Windows Server 2008 x64-Based Systems Service Pack 2,
- Windows Server 2008 R2 Itanium-Based Systems Service Pack 1,
- Windows Server 2008 R2 x64-Based Systems Service Pack 1.
Ohroženy jsou také Windows XP a Windows Server 2003, tyto verze již ale nejsou společností Microsoft podporovány.
Naše experti doporučují uživatelům, kteří využívají Windows 7 Service Pack 1, aktualizovat systém na novější verzi. Mimo jiné proto, že Microsoft ukončí 14. ledna 2020 podporu tohoto systému a přestane tak vydávat bezpečnostní aktualizace.
Bližší technické informace naleznete v článku na WeLiveSecurity.com.