Aplicar actualización de Windows, Vulnerabilidad CVE-2018–8589

Published: 11/13/2018,

Bugtraq ID:105796
MITRE CVE-2018–8589

Microsoft Windows es propenso a una vulnerabilidad de escalamiento de privilegios local que se produce en el kernel de Windows. Un atacante local puede explotar este problema para ejecutar código arbitrario en modo kernel con privilegios elevados,cuando Windows maneja incorrectamente las llamadas a Win32k.sys

Microsoft lanzó 16 actualizaciones de software para reparar más de 60 agujeros de seguridad en varios tipos de Windows y otros productos de Microsoft. Adobe también tiene parches de seguridad disponibles para los usuarios de Flash Player, Acrobat y Reader.

Catalogo de Microsoft Update:

Descripción:
Existe una vulnerabilidad de elevación de privilegios cuando Windows maneja incorrectamente las llamadas a Win32k.sys. Un atacante que aprovechó esta vulnerabilidad podría ejecutar código arbitrario en el contexto de seguridad del sistema local. Un atacante podría entonces instalar programas; ver, cambiar, o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. Para aprovechar esta vulnerabilidad, un atacante primero tendría que iniciar sesión en el sistema. Un atacante podría ejecutar una aplicación especialmente diseñada que podría explotar la vulnerabilidad y tomar el control de un sistema afectado. La actualización corrige la vulnerabilidad al corregir cómo Windows maneja las llamadas a Win32k.

Sistemas afectados:
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 7 for 32-bit Systems SP1

Como asegurarte de esta vulnerabilidad:

1. - Instale el parche de Microsoft inmediatamente.

Si está utilizando Windows Update, se ofrecerá automáticamente la última SSU (KB3177467). Para obtener el paquete independiente para la última SSU, vaya al Catálogo de actualizaciones de Microsoft /Microsoft Update Catalog:

2.- Actualice regularmente todo el software que tu empresa utiliza a las versiones más recientes.

3.- Deje de usar software obsoleto antes de que finalice su soporte.

4.- Utilice productos de seguridad con capacidades de evaluación de vulnerabilidad y administración de parches para automatizar los procesos de actualización.

5- Use una solución de seguridad robusta equipada con capacidades de detección basadas en el comportamiento para una protección efectiva contra amenazas desconocidas, incluyendo ataques de día cero.
Fuente: https://www.kaspersky.com/blog/cve-2018-8589-vulnerability-detected/24597

Exploit:
El exploit fue utilizado en varios ataques APT, principalmente en la región de Medio Oriente. Apuntaba solo a las versiones de 32 bits de Windows 7. Kaspersky reportó la falla a Microsoft el 17 de octubre, la firma de seguridad observó ataques contra sistemas protegidos por su solución e intentando explotar la falla de día cero que afecta al componente Win32k en Windows.

La falla podría ser explotada por un atacante autenticado para ejecutar código arbitrario en el contexto del usuario local, vincula la forma en que Windows maneja las llamadas a Win32k.sys.

Kaspersky Lab describió la falla CVE-2018–8589 como una condición de carrera en win32k! XxxMoveWindow que es causada por el bloqueo incorrecto de los mensajes enviados sincrónicamente entre hilos.

Según Microsoft: Evaluación de explotabilidad
La siguiente tabla proporciona una evaluación de explotabilidad para esta vulnerabilidad en el momento de la publicación original. Aún el exploit no esta divulgado públicamente, pero sí es explotable.

Según, SecurityFocus:
Actualmente, no tenemos conocimiento de ninguna explotación que funcione. Si cree que estamos en un error o si conoce información más reciente, envíenos un correo electrónico a: vuldb@securityfocus.com

Reconocimientos:
-Igor Soumenkov (2igosha) of Kaspersky Lab
-Boris Larin (Oct0xor) of Kaspersky Lab

Fuentes de la publicación:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8589

https://securelist.com/a-new-exploit-for-zero-day-vulnerability-cve-2018-8589/88845

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store