CVE-2019-0797漏洞:Windows操作系统中的新零日在攻击中被利用

最新推荐文章于 2025-03-20 13:00:00 发布
最新推荐文章于 2025-03-20 13:00:00 发布
阅读量1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全 0day windows 文章标签: 安全 0day 黑客
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wdsj_xh/article/details/88580948
卡巴斯基实验室揭示了Windows操作系统中的CVE-2019-0797零日漏洞,该漏洞在win32k.sys中被利用。微软已发布补丁。此漏洞被FruityArmor和新APT SandCat利用,涉及竞争条件和系统调用的同步问题。攻击主要针对Windows 8至10的64位系统,且避免在Chrome沙箱中执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

在2019年2月,卡巴实验室的自动漏洞防护(AEP)系统检测到尝试利用Microsoft Windows操作系统中的漏洞。对此事件的进一步分析发现win32k.sys中存在零日漏洞。卡巴实验室于2019年2月22日向Microsoft报告确认了该漏洞分配为CVE-2019-0797。微软刚刚发布了一个补丁,称卡巴斯基实验室研究人员Vasiliy Berdnikov和Boris Larin的发现:

这是卡巴斯基实验室在Windows中发现的第四个连续被利用的本地权限提升漏洞。例如CVE-2018-8589,卡巴实验室相信这一漏洞被一些威胁组织使用,包括但不限于FruityArmor和SandCat。
FruityArmor曾使用过0day,但SandCat是最近才发现的新APT。除了CVE-2019-0797和CHAINSHOT之外,SandCat还使用FinFisher/FinSpy框架。

卡巴斯基实验室产品通过以下技术主动检测到此漏洞:

1.端点产品的行为检测引擎和自动漏洞预防;
2.卡巴斯基反目标攻击平台(KATA)的高级沙盒和反恶意软件引擎。

卡巴斯基实验室判断此次攻击和相关攻击中使用的工件是:

HEUR:Exploit.Win32.Generic
HEUR:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic

回到顶部

技术细节 - CVE-2019-0797

CVE-2019-07

最低0.47元/天 解锁文章

200万优质内容无限畅学
[漏洞挖掘与防护] 01.漏洞利用CVE-2019-0708复现及防御详解(含学习路线)
杨秀璋的专栏
07-10 1525
这是作者开的一个专栏——“漏洞挖掘与防护”。第一篇文章将详细介绍Windows远程桌面服务漏洞CVE-2019-0708),该高危漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击,堪比WannaCry。希望对入门的同学有帮助。您的点赞、评论、收藏将是对我最大的支持,感恩安全路上一路前行,如果有写得不好的地方,可以联系我修改。基础性文章,希望对您有所帮助!
[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
Back Track 5 之 漏洞攻击 && 密码攻击 && Windows下渗透工具
weixin_34187822的博客
12-25 211
网络漏洞攻击工具 Metasploit   先msfupdate升级:   然后选择msfconsole:   接下来: set LHOST 本机IP地址 setLPORT 4445 setg PAYLOAD windows/shell/reverse_tcp setg RHOST 目标IP地址 setg port 21 set ...
网上惊现Windows漏洞攻击代码(转)
cuankuangzhong6373的博客
05-20 406
7月26日消息,安全专家警告称,有两份能够利用微软Windows安全漏洞实施攻击的计算机代码已经在互联网上公开了。  据法国安全事件反应小组星期一发给客户的警告称,第一个利用安全漏洞的代码是利用Windows DHCP(动态主机...
零日漏洞DoubleAgent的代码注入和持久性攻击技术分析
weixin_34192816的博客
09-19 1044
本文讲的是零日漏洞DoubleAgent的代码注入和持久性攻击技术分析, 近日Cybellum的安全专家发现了一种型的零日漏洞病毒,该病毒会在攻击计算机前先破坏杀毒软件,Cybellum的安全专家将这种攻击手段命名为 DoubleAgent。 DoubleAgent通过向杀毒软件注入代码从而修改杀毒软件的进程,进而获得设备的完整权限来对用户进行攻击。...
网络安全威胁——零日攻击
m0_59598029的博客
04-01 1352
零日攻击是指利用零日漏洞对系统或软件应用发动的网络攻击零日漏洞也称零时差漏洞,通常是指还没有补丁的安全漏洞。由于零日漏洞的严重级别通常较高,所以零日攻击往往也具有很大的破坏性。目前,任何安全产品或解决方案都不能完全防御住零日攻击零日漏洞中的零日”得名于漏洞被公开后,补丁未出现的天数。漏洞被公开当天,一般来讲都不会及时推出补丁,所以称为零日漏洞;如果N日后仍然没有补丁,则称为N日漏洞。换个角度讲,“零日”也可以理解为针对此漏洞攻击出现在哪天,漏洞公开当天即利用漏洞攻击称为零日攻击,以此类推。
漏洞剖析】CVE-2024-38063(Windows IPV6 远程执行代码漏洞)
QYbudong的博客
09-04 4885
这也证明之前引发溢出的漏洞并不是单一数据包产生的,我们需要发送多个会被抛弃或或待被处理的ipv6数据包,才能组合触发漏洞。该函数在ipv6数据包重组失败或异常一段时间后被调用,他的代码很少,但在中间部分使用了memmove函数复制缓冲区,顺着这里往上看,它使用IppNetAllocate申请了一块大小为(0xFFD0+8+0x28)再加上一个不超过0x40的值,由于这里是十六位无符号数,所以相加后一定是一个处于0x00和0x50之间的数,远小于0xFFD0,所以下边使用memmove复制内存时会产生溢出。
最详细利用kali的msf进行CVE-2019-0708漏洞复现
qq_43331608的博客
10-03 2万+
CVE-2019-0708 技术无罪,请勿用于恶意用途,出事本人不负一切责任 0.漏洞背景 Windows再次被曝出一个破坏力巨大的高危远程漏洞CVE-2019-0708。攻击者一旦成功利用漏洞,便可以在目标系统上执行任意代码,包括获取敏感信息、执行远程代码、发起拒绝服务攻击等等攻击行为。而更加严重的是,这个漏洞的触发无需用户交互,攻击者可以用该漏洞制作堪比2017年席卷全球的WannaCry类...
Windows各版本以及漏洞
weixin_44110913的博客
06-15 1896
目录 MS-Dos Win 9X Win NT Windows Server .NET FrameWork PowerShell IIS6.0漏洞     解析漏洞 IIS7.0/7.5漏洞     畸形解析漏洞 MS-Dos 版本号 发布时间 Windows1.0 1985.11 Windows2.0 1987.12 Windo...
2021-04-15
YUJIANBHWH的博客
04-15 147
卡巴斯基在桌面窗口管理器中发现零日漏洞 2021年初,卡巴斯基研究人员在对已经被上报的BITTER高级可持续威胁组织使用的CVE-2021-1732漏洞进行深入分析后,发现了另一个零日漏洞。目前,安全专家还未能将这种漏洞与任何已知的威胁行为者联系起来。 零日漏洞从根本上说是一种未知的软件缺陷。一旦被发现,能够让攻击者在暗处进行恶意活动,造成意想不到的破坏性后果。 在分析CVE-2021-1732漏洞时,卡巴斯基专家发现了另一个零日漏洞,并于2月将其上报给微软公司。在确认这的确是一个零日漏洞后,该漏洞获得的
CVE-2019-0708漏洞利用
键盘上温暖而又美好的时光 .
03-20 797
通过利用远程桌面的3389端口,RDP协议进行攻击,从而导致机器被利用
CVE-2019-0708(BlueKeep)漏洞分析与复现
未完成的歌~的博客
03-14 2万+
文章目录一、 漏洞简介1、漏洞介绍:2、漏洞原理:3、影响版本:二、 漏洞复现复现环境:复现过程:1、主机发现:2、使用MSF的漏洞模块:3、对靶机进行漏洞扫描:4、使用攻击模块,对靶机进行攻击5、使用POC,进行蓝屏攻击 一、 漏洞简介 1、漏洞介绍: 2019年5月14日微软官方发布安全补丁,修复了 Windows 远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的 Windows 系统。此漏洞是预身份验证,无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用,与2017年 WannaCr
中职网络安全2022国赛之CVE-2019-0708漏洞利用
Ba1_Ma0的博客
04-22 4019
简介 我做了一个简单的环境来复现这个漏洞,需要虚拟机环境的可以加我qq:3316735898,有什么不会的也可以问我 1.通过本地PC中渗透测试平台Kali对靶机场景Server1进行系统服务及版本扫描渗透测试,以xml格式向指定文件输出信息(使用工具Nmap),将以xml格式向指定文件输出信息必须要使用的参数作为Flag值提交 nmap将扫描内容输出到.xml文件的参数为 -oX // (XML 输出) 将输出直接写入 filespec 指定的 xml 文件,得到的 xml 文件可以由浏览器,或其
CVE-2019-0708(远程桌面)漏洞复现
weixin_43806577的博客
08-26 5771
一、CVE-2019-0708漏洞简介 CVE-2019-0708漏洞被称为“永恒之蓝”级别的漏洞,只要开启Windows远程桌面服务(RDP服务)即可被攻击。 二、测试环境 Kali虚拟机、Windows Server 2008 R2 64位(Windows服务器需开启远程桌面服务)、windows 7 64位(开启远程桌面服务) 三、测试过程 (1)查看IP Kali的IP地址为1...
cve-2019-9766引出的缓冲区漏洞学习
zwish的信安之路
06-25 1674
通过工程实践引出的缓冲区溢出,缓冲区溢出 缓冲区攻击的最终目的就是希望系统能执行这块可读写内存中已经被蓄意设定好的恶意代码。 1、栈的结构 1、先进后出。 2、在内存中表现为从高地址往低地址增长。 3、栈顶:栈的最上方(低地址区)。 4、栈低:栈的最下方(高地址区)。 基本的进程地址空间分布: 2、基本栈溢出: 缓冲区溢出示意图: 如果在数据段(右边的data)就保存了一系列的指令的二进制代码...
CVE-2019-0708——RDP漏洞利用
热门推荐
迷风小白
07-03 6万+
背景介绍 Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广,漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞,跟之前的勒索,永恒之蓝病毒差不多。 影响系统:windows2003、windows2008、windows2008 R2、windows xp 、win7 环境: 攻击机:kali IP:192....
网络安全基础之Windows漏洞复现 (MS08-067)
weixin_60888404的博客
06-03 3092
本次介绍Windows系统漏洞 MS08-087Windows Server服务 RPC 缓冲区远程溢出漏洞编号 MS08-067MS08_067漏洞渗透攻击原理其原理就是攻击利用受害者默认开启的SMB服务端口445端口发送恶意的资料到这个端口,通过MSRPC接口调用Server服务的函数,并破坏程序的栈缓冲区,利用远程代码执行权限,从而控制主机前期准备: 靶机:Windows 2003 (未打补丁) 攻击机:kali LinuxMS08_067漏洞渗透攻击过程使用
JAVA 框架
bylfsj的博客
11-01 455
4.3.2. 框架¶ 4.3.2.1. Servlet¶ 4.3.2.1.1. 简介¶ Servlet(Server Applet)是Java Servlet的简称,称为小服务程序或服务连接器,是用Java编写的服务器端程序,主要功能在于交互式地浏览和修改数据,生成动态Web内容。 狭义的Servlet是指Java语言实现的一个接口,广义的Servlet是指任何实现了这个Servlet接口的...
CVE-2019-8331漏洞利用
最新发布
04-03
### CVE-2019-8331 漏洞概述 CVE-2019-8331 是一个存在于 GNU C 库 (glibc) 中的堆缓冲区溢出漏洞,主要影响 glibc 的 `getaddrinfo` 函数。此函数用于解析主机名到 IP 地址的过程中存在潜在的安全风险。攻击者可以通过精心构造的数据包触发该漏洞,从而可能导致远程代码执行或服务崩溃。 #### 影响范围 受影响的 glibc 版本包括但不限于 2.26 和更早版本。由于 `getaddrinfo` 是网络编程中的常用 API,因此许多基于 Linux 的应用程序和服务可能受到影响[^3]。 --- ### 漏洞原理分析 当调用 `getaddrinfo` 解析 DNS 响应时,如果响应数据超出了预期大小,则可能会发生堆缓冲区溢出。具体来说: - 攻击者可以发送特制的 DNS 数据包给目标服务器。 - 如果目标程序未正确验证返回的结果长度,就可能发生内存越界写入操作。 - 这种情况允许攻击者控制某些特定条件下的指令流,进而实现恶意目的。 以下是简化版的概念证明代码片段展示如何设置环境变量来测试是否存在此类问题: ```c #include <stdio.h> #include <netdb.h> int main(void){ struct addrinfo hints, *res; memset(&hints, 0, sizeof(hints)); hints.ai_family = AF_UNSPEC; /* Allow IPv4 or IPv6 */ hints.ai_socktype = SOCK_STREAM; int error = getaddrinfo("vulnerable-host", NULL, &hints, &res); if(error != 0 ){ printf("Error: %s\n", gai_strerror(error)); }else{ freeaddrinfo(res); } } ``` 上述代码尝试连接至名为 `"vulnerable-host"` 的主机地址信息查询过程可能存在安全隐患[^4]。 --- ### 利用方式探讨 对于实际利用场景而言,成功实施攻击需满足几个前提条件: 1. **目标应用依赖于易受攻击版本的 glibc 并频繁使用 `getaddrinfo()` 调用**; 2. **能够向目标机器注入伪造DNS回复消息**; 然而值得注意的是,在真实世界环境中有效部署这种类型的攻击具有相当难度,因为还需要克服诸如 ASLR(Address Space Layout Randomization)、NX bit 等现代操作系统防护机制的影响。 尽管如此,理论上仍可通过以下途径达成初步突破: - 使用中间人(MitM)技术拦截并篡改合法请求路径上的流量; - 或者通过社交工程手段诱导受害者访问由黑客操控的服务端口实例完成初始入口建立工作之后再进一步扩展权限获取流程等等[^5]。 --- ### 防护措施建议 为了防止遭受此类威胁侵害,推荐采取如下策略加强系统安全性: - 及时更所使用的软件组件至最稳定发行版以修补已知缺陷; - 对内部网络架构进行全面梳理排查消除不必要的外部暴露面减少被入侵可能性; - 实施严格的输入校验逻辑杜绝非法参数传递进入核心业务处理环节之中去规避未知零日型隐患爆发带来的损失扩大化趋势发展下去的话将会更加严重危害程度加深加剧恶化形势严峻复杂多变不可控因素增多等问题亟待解决刻不容缓势在必行迫在眉睫任重道远前景广阔未来可期共同努力携手共进共创辉煌明天! ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值