在4月9日发布的补丁星期二活动日中,微软修复了卡巴斯基发现的一个零日漏洞,如果被黑客控制可以获得控制系统的完整权限。该漏洞编号为CVE-2019-0859,是已经被黑客利用的Win32k提权漏洞,微软已经确认新旧Windows系统均受到影响。Windows 10十月更新(Version 1809)同样受到影响。
卡巴斯基表示是在今年3月份发现这个漏洞的,并于3月17日向微软进行了报告。该安全公司披露的细节显示该漏洞PowerShell命令,该命令用于从PasteBin下载后续的第二阶段脚本。最后另一个PowerShell脚本会解压缩shellcode,分配可执行内存,将shellcode复制到已分配的内存,并调用CreateThread来执行shellcode。
卡巴斯基表示:“shellcode的主要目标是制作一个简单的HTTP反向shell。这有助于攻击者完全控制受害者的系统。”微软表示:“当Win32k组件无法正确处理内存中的对象时,Windows中存在一个提权漏洞。成功利用此漏洞的攻击者可以在内核模式下运行任意代码。攻击者可以安装程序、查看、更改或者删除数据,或者创建具备完整用户权限的新账户。”
卡巴斯基表示虽然这个漏洞已经被黑客利用,但是目前没有直接证据表明被大型黑客集团利用。此漏洞的修补程序已于4月9日发布,建议用户尽快安装。
