Criminosos estão a utilizar vulnerabilidade zero-day (CVE-2019-1458) em ciberataques da operação WizardOpium.

Investigadores estão a utilizar um exploit que explora uma vulnerabilidade de dia zero no Windows recentemente corrigida, e com isso estão a alavancar ataques do Operation WizardOpium, juntamente com o exploit da vulnerabilidade de dia zero do Chrome do mês passado.

A operação WizardOpium tem sido observada desde novembro, e o ataque foi observado inicialmente pelos investigadores da Kaspersky que descobriram que a vulnerabilidade zero-day do Chrome foi usada em parte neste ataque.

Further detailed investigation revealed that the exploit for Google Chrome embeds a 0-day EoP exploit (CVE-2019-1458) that is used to gain higher privileges on the infected machine and also escape the Chrome process sandbox.

 

Os investigadores observaram dois estágios diferentes do exploit. Um é um loader de PE files e outro é uma ameaça atual. Os produtos da Kaspersky detectam esta ameaça como: PDM: Exploit.Win32.Generic.

 

O exploit EoP indica que a vulnerabilidade usada pertence ao driver win32k.sys e que o exploit EoP é um exploit de dia zero também, uma vez que consegue tirar partido de sistema operativos Windows 7 e 10 totalmete atualizados.

According to Kaspersky research ” The vulnerability itself is related to windows switching functionality (for example, the one triggered using the Alt-Tab key combination). That’s why the exploit’s code uses a few WinAPI calls (GetKeyState/SetKeyState) to emulate a key press operation.”

 

Mais detalhes sobre a vulnerabilidade aqui.