{"id":11606,"date":"2019-04-15T13:05:09","date_gmt":"2019-04-15T13:05:09","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11606"},"modified":"2019-11-22T08:52:27","modified_gmt":"2019-11-22T08:52:27","slug":"cve-2019-0859-detected","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/cve-2019-0859-detected\/11606\/","title":{"rendered":"CVE-2019-0859 : vuln\u00e9rabilit\u00e9 zero-day sous Windows"},"content":{"rendered":"

Nos technologies de s\u00e9curit\u00e9 proactives ont d\u00e9tect\u00e9 d\u00e9but mars une action cherchant \u00e0 exploiter une vuln\u00e9rabilit\u00e9 sous Microsoft Windows. L\u2019\u00e9tude r\u00e9v\u00e8le qu\u2019il s\u2019agit d\u2019une vuln\u00e9rabilit\u00e9 zero-day de notre vieil ami win32k.sys, au sein duquel nous avons d\u00e9j\u00e0 d\u00e9tect\u00e9 quatre fois des vuln\u00e9rabilit\u00e9s similaires. Nous avons signal\u00e9 le probl\u00e8me au d\u00e9veloppeur, et une correction<\/a> lanc\u00e9e le 10 avril a corrig\u00e9 la vuln\u00e9rabilit\u00e9.<\/p>\n

De quoi s\u2019agit-il ?<\/h2>\n

CVE-2019-0859 est une vuln\u00e9rabilit\u00e9 Use-After-Free<\/a> dans le fonctionnement du syst\u00e8me qui g\u00e8re les fen\u00eatres de dialogue, ou plus pr\u00e9cis\u00e9ment, leurs styles suppl\u00e9mentaires. Le mod\u00e8le de l\u2019exploit trouv\u00e9 dans la nature<\/a> visait les versions 64-bit du syst\u00e8me d\u2019exploitation, de Windows 7 aux tous derniers mod\u00e8les de Windows 10. L\u2019exploitation de cette vuln\u00e9rabilit\u00e9 permet au malware de t\u00e9l\u00e9charger et d\u2019ex\u00e9cuter un script \u00e9crit par les pirates informatiques, ce qui, dans le pire des cas, leur permet de contr\u00f4ler l\u2019ordinateur infect\u00e9.<\/p>\n

C\u2019est du moins comme \u00e7a que le groupe encore non identifi\u00e9 de l\u2019APT cherche \u00e0 l\u2019utiliser. Gr\u00e2ce \u00e0 cette vuln\u00e9rabilit\u00e9, les pirates informatiques peuvent obtenir les privil\u00e8ges suffisants pour installer une porte d\u00e9rob\u00e9e qu\u2019ils ont cr\u00e9\u00e9e avec Windows PowerShell. En th\u00e9orie, cette m\u00e9thode devrait permettre aux cybercriminels de passer inaper\u00e7us. Ils se sont servis de cette porte d\u00e9rob\u00e9e pour t\u00e9l\u00e9charger la charge utile de l\u2019arme, ce qui leur a ensuite permis d\u2019acc\u00e9der \u00e0 l\u2019int\u00e9gralit\u00e9 de l\u2019ordinateur infect\u00e9. Lisez l\u2019article publi\u00e9 sur Securelist<\/a> pour obtenir plus de d\u00e9tails sur le fonctionnement de l\u2019exploit.<\/p>\n

Comment se prot\u00e9ger<\/h3>\n

Toutes les m\u00e9thodes de protection mentionn\u00e9es ci-dessous ont d\u00e9j\u00e0 \u00e9t\u00e9 \u00e9voqu\u00e9es plusieurs fois, et il n\u2019y a rien de nouveau \u00e0 ajouter.<\/p>\n