{"id":11640,"date":"2019-04-15T16:59:15","date_gmt":"2019-04-15T19:59:15","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11640"},"modified":"2020-11-16T12:28:45","modified_gmt":"2020-11-16T15:28:45","slug":"cve-2019-0859-detected","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/cve-2019-0859-detected\/11640\/","title":{"rendered":"Kaspersky Lab descobre 5\u00aa vulnerabilidade cr\u00edtica no Windows"},"content":{"rendered":"

No in\u00edcio de mar\u00e7o, nossas tecnologias proativas de seguran\u00e7a descobriram uma tentativa de explorar uma vulnerabilidade no Microsoft Windows. A an\u00e1lise revelou uma falha 0-day em nosso velho amigo win32k.sys, no qual falhas similares foram encontradas outras quatro vezes. Reportamos o problema para o desenvolvedor e a vulnerabilidade foi corrigida com um patch<\/a>, lan\u00e7ado 10 de abril.<\/p>\n

Com o que estamos lidando?<\/h3>\n

A CVE-2019-0859 \u00e9 uma vulnerabilidade Use-After-Free<\/a> na fun\u00e7\u00e3o do sistema que cuida das janelas de di\u00e1logo ou, mais especificamente, de seus estilos adicionais. O padr\u00e3o do exploit encontrado in the wild<\/em><\/a> tinha como alvo as vers\u00f5es 64-bit do SO, desde o Windows 7 at\u00e9 as \u00faltimas fases do Windows 10. A explora\u00e7\u00e3o dessa vulnerabilidade permite que o malware baixe e execute um script escrito pelos criminosos que, no pior dos cen\u00e1rios, resulta no controle completo sobre o computador infectado.<\/p>\n

Ou, pelo menos, foi assim que um\u00a0ainda n\u00e3o identificado grupo de APTs tentou utiliz\u00e1-la. Com a vulnerabilidade, garantiram privil\u00e9gios suficientes para instalar uma backdoor criada com o Windows PowerShell. Teoricamente, isso permite que os cibercriminosos se mantenham escondidos. Por meio dessa backdoor a carga de muni\u00e7\u00e3o foi carregada, o que ent\u00e3o permitiu aos criminosos ganharem acesso completo \u00e0 m\u00e1quina infectada. Acesse o Securelist<\/a> para mais detalhes.<\/p>\n

Como se proteger<\/h3>\n

Todos os m\u00e9todos de prote\u00e7\u00e3o a seguir j\u00e1 foram indicados diversas vezes, e n\u00e3o temos nada particularmente novo para adicionar.<\/p>\n