CVE-2019-0859 : vulnérabilité zero-day sous Windows

15 Avr 2019

Nos technologies de sécurité proactives ont détecté début mars une action cherchant à exploiter une vulnérabilité sous Microsoft Windows. L’étude révèle qu’il s’agit d’une vulnérabilité zero-day de notre vieil ami win32k.sys, au sein duquel nous avons déjà détecté quatre fois des vulnérabilités similaires. Nous avons signalé le problème au développeur, et une correction lancée le 10 avril a corrigé la vulnérabilité.

De quoi s’agit-il ?

CVE-2019-0859 est une vulnérabilité Use-After-Free dans le fonctionnement du système qui gère les fenêtres de dialogue, ou plus précisément, leurs styles supplémentaires. Le modèle de l’exploit trouvé dans la nature visait les versions 64-bit du système d’exploitation, de Windows 7 aux tous derniers modèles de Windows 10. L’exploitation de cette vulnérabilité permet au malware de télécharger et d’exécuter un script écrit par les pirates informatiques, ce qui, dans le pire des cas, leur permet de contrôler l’ordinateur infecté.

C’est du moins comme ça que le groupe encore non identifié de l’APT cherche à l’utiliser. Grâce à cette vulnérabilité, les pirates informatiques peuvent obtenir les privilèges suffisants pour installer une porte dérobée qu’ils ont créée avec Windows PowerShell. En théorie, cette méthode devrait permettre aux cybercriminels de passer inaperçus. Ils se sont servis de cette porte dérobée pour télécharger la charge utile de l’arme, ce qui leur a ensuite permis d’accéder à l’intégralité de l’ordinateur infecté. Lisez l’article publié sur Securelist pour obtenir plus de détails sur le fonctionnement de l’exploit.

Comment se protéger

Toutes les méthodes de protection mentionnées ci-dessous ont déjà été évoquées plusieurs fois, et il n’y a rien de nouveau à ajouter.

  • Tout d’abord, installez la mise à jour de Microsoft pour corriger la vulnérabilité.
  • Mettez régulièrement à jour les logiciels que votre entreprise utilise, surtout les systèmes d’exploitation, afin de toujours disposer de la dernière version disponible.
  • Utilisez des solutions de sécurité équipées de technologies d’analyse comportementale qui peuvent détecter les menaces encore inconnues.

L’exploit de la vulnérabilité CVE-2019-0859 a d’abord été identifié par nos technologies de détection comportementale (Behavioral Detection Engine) et de prévention automatique des exploits (Exploit Prevention Automatic) qui se trouvent dans notre solution Kaspersky Endpoint Security for Business.

Si vos administrateurs, ou équipes de sécurité des informations, ont besoin de mieux comprendre les méthodes utilisées pour détecter les menaces zero-day sous Windows, nous vous conseillons de visionner le webinaire en anglais Windows zero-days in three months: How we found them in the wild (Vulnérabilités zero-day sous Windows en trois mois : comment nous les avons détectées dans la nature).