CVE-2019-0797: новая уязвимость нулевого дня

Очередной эксплойт для операционной системы Windows выявлен нашими проактивными технологиями.

Как бы ни хотелось избежать однообразия, но обстоятельства сильнее: спустя три месяца после последнего обнаружения уязвимости нулевого дня наши проактивные технологии выявили еще один эксплойт для Windows. На этот раз уязвимость затрагивает гораздо большее количество версий ОС: в зоне риска — 64-битные «восьмерки» и «десятки» (до билда 15063). Мы уведомили Microsoft о находке, и патч, закрывающий уязвимость, был включен в обновление системы, вышедшее 12 марта.

С актуальными версиями операционной системы сложилась «интересная» ситуация: несмотря на постоянный выход обновлений, многие не спешат их устанавливать, опасаясь нарушения работы компьютеров. Но в данной ситуации стратегия «выждать и посмотреть, как пойдет у других» — не слишком хороший выбор.

Что такое CVE-2019-0797

Это уже четвертый обнаруженный нами за последнее время эксплойт, эксплуатация которого приводит к несанкционированному повышению привилегий. Как и в случае с CVE-2018-8589, это ошибка состояния гонки в драйвере win32k.sys (технические подробности на английском языке можно найти в блогпосте сайта Securelist). Мы знаем о нескольких таргетированных атаках, в которых использовался этот эксплойт. Потенциально он дает злоумышленникам возможность получить полный контроль над уязвимой системой.

Как избежать проблем

Как и в предыдущих случаях, наши советы остаются неизменными:

• Установите обновление системы (его можно найти на сайте Microsoft)
• Постоянно обновляйте ПО (в особенности ОС) до актуальных версий и по возможности откажитесь от него после окончания сроков поддержки.
• Используйте защитные решения с технологиями поведенческого анализа.

Технологии, с помощью которых выявлен данный эксплойт (Advanced Sandboxing, Anti Targeted Attack, Behavioral detection engine и Automatic Exploit Prevention), используются в защитном решении Kaspersky Security для бизнеса.

15.03.2019