{"id":18262,"date":"2019-04-15T16:20:31","date_gmt":"2019-04-15T14:20:31","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=18262"},"modified":"2019-11-22T10:54:08","modified_gmt":"2019-11-22T08:54:08","slug":"cve-2019-0859-detected","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/cve-2019-0859-detected\/18262\/","title":{"rendered":"CVE-2019-0859: una vulnerabilidad de d\u00eda cero en Windows"},"content":{"rendered":"

A principios de marzo, nuestras tecnolog\u00edas de seguridad proactivas descubrieron un intento de explotaci\u00f3n de una vulnerabilidad en Microsoft Windows. El an\u00e1lisis revel\u00f3 una vulnerabilidad de d\u00eda cero en nuestro viejo amigo win32k.sys, en el que ya se han detectado vulnerabilidades similares en otras cuatro ocasiones. Informamos al desarrollador sobre el problema y este solucion\u00f3 la vulnerabilidad con un parche<\/a> que se lanz\u00f3 el 10 de abril.<\/p>\n

\u00bfA qu\u00e9 nos enfrentamos?<\/h3>\n

CVE-2019-0859 es una vulnerabilidad de tipo Use-After-Free<\/a> en la funci\u00f3n del sistema que se encarga de las ventanas de di\u00e1logo o, siendo m\u00e1s concretos, de sus estilos adicionales. El patr\u00f3n del exploit<\/em> descubierto en activo<\/a>\u00a0se dirig\u00eda a los sistemas operativos con versiones de 64 bits, desde Windows 7 hasta los \u00faltimos Windows 10. La explotaci\u00f3n de la vulnerabilidad permite al malware<\/em> descargar y ejecutar un script<\/em> desarrollado por los atacantes que, en el peor de los casos, acaba con el control total del ordenador infectado.<\/p>\n

O, al menos, as\u00ed es c\u00f3mo este grupo de APT sin identificar intent\u00f3 utilizarla. Con esta vulnerabilidad, consiguieron los privilegios necesarios como para instalar una puerta trasera creada con Windows PowerShell. En teor\u00eda, esto deber\u00eda permitir que los cibercriminales permanecieran ocultos. Esta carga se subi\u00f3 mediante la puerta trasera, gracias a la cual los cibercriminales consiguieron acceso total a todo el ordenador infectado. No te pierdas esta publicaci\u00f3n en Securelist<\/a> para m\u00e1s informaci\u00f3n sobre el funcionamiento del exploit<\/em>.<\/p>\n

C\u00f3mo mantenerte protegido<\/h3>\n

Ya hemos hablado en otras ocasiones de los siguientes m\u00e9todos de protecci\u00f3n, no hay nada nuevo que a\u00f1adir:<\/p>\n