Vulnérabilité permettant l’élévation des privilèges dans Windows OS
CVE-2019-0859 - CVE Score 7.8
Sources
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0859
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0859
https://threatpost.com/windows-zero-day-active-exploits/143820/
Risques
Une vulnérabilité permettant l’élévation des privilèges existe dans Windows lorsque le composant Win32k ne gère pas correctement les objets en mémoire. Un acteur malveillant qui a exploité avec succès cette vulnérabilité peut exécuter du code arbitraire en mode noyau (Kernel mode). Cet acteur malveillant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec tous les droits d'utilisateur.
Cette vulnérabilité est activement exploitée par des acteurs malveillants.
Description
Cette vulnérabilité a été découverte par 2 chercheurs de Kaspersky plus tôt cette année. Selon eux, elle est utilisée comme « zéro day » par certains groupes APT (Advanced Persistant Threat).
Un acteur malveillant, qui doit déjà être connecté au système, peut exécuter une application spécialement conçue pour exploiter cette vulnérabilité. Dans les attaques observées, une séquence en plusieurs étapes à permis aux intrus d’établir un reverse shell HTTP.
Actions recommandées
CERT.be recommande aux administrateurs de mettre à jour leur Windows en installant les derniers patches disponibles. Ils peuvent être téléchargé ici :
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0859