Команда программ-вымогателей, возможно, воспользовалась ошибкой Windows make-me-admin как угрозой нулевого дня.

Важные новости

Команда программ-вымогателей могла использовать ошибку Windows make-me-admin как нулевой день

По мнению охотников за угрозами Symantec, банда вымогателей Black Basta могла использовать уже исправленную ошибку повышения привилегий Windows как нулевой день.

Microsoft подключена дыру в службе отчетов об ошибках Windows в мартовском патче во вторник, и предупредил организации, что уязвимость, отслеживаемая как CVE-2024-26169, может позволить злоумышленнику повысить привилегии до всемогущего системного уровня во время атаки. Злоумышленник может использовать эту уязвимость, чтобы, например, взломать учетную запись отдельного пользователя и получить контроль над всем ящиком в качестве администратора.

Также тогда Редмонд заявил, что нет никаких доказательств того, что уязвимость использовалась до исправления во вторник. Однако, по мнению Symantec, это может быть не так.

В статье, опубликованной в среду, команда Symantec по анализу угроз сообщила, что анализ эксплойта, используемого командой вымогателей Black Basta для компрометации жертв, указывает на то, что вредоносный код мог быть скомпилирован до того, как Microsoft выпустила исправление.

Это будет означать, что «по крайней мере одна группа могла использовать уязвимость нулевого дня» для достижения полного контроля над целевыми компьютерами с Windows.

Этот конкретный эксплойт использовался при недавней попытке заражения программой-вымогателем, мы' мне сказали. И хотя эта атака не увенчалась успехом, Symantec отметила сходство между этим неудавшимся заражением, которое расследовала его команда, и кампанией по вымогательству Black Basta, которую Microsoft задокументировала в мае.

Редмонд заявил, что кампания, которую он наблюдал, была проведена бандой киберпреступников, которую она отслеживает как Storm-1811 (другие называют команду Cardinal или UNC4393), и что банда использует методы социальной инженерии – по сути, обманывая людей в организациях, чтобы предоставить мошенникам доступ к системам. по заражению программами-вымогателями – продолжалось с середины апреля. Storm-1811 злоупотреблял приложением Microsoft Quick Assist и использовал пакетные сценарии, замаскированные под обновления программного обеспечения, для развертывания программы-вымогателя Black Basta в целевых ИТ-средах. 

По словам Symantec, эти конкретные тактики «очень похожи» на те, которые ее следователи наблюдали в ходе собственного расследования, что делает «весьма вероятным», что обнаруженная командой Symantec «была неудачной атакой Black Basta».

Анализ эксплойта командой показал, что он использует тот факт, что werkernel.sys Windows использует нулевой дескриптор безопасности при создании ключей реестра:

Поскольку родительский ключ имеет запись управления доступом (ACE) «Создатель-владелец» для подразделов, все подразделы будут принадлежать пользователям текущего процесса. Эксплойт использует это для создания раздела реестра «HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsWerFault.exe», где он устанавливает значение «Отладчик» в качестве собственного пути к исполняемому файлу. Это позволяет эксплойту запускать оболочку с правами администратора. 

Команда Symantec также отметила, что вариант эксплойта был отмечен 27 февраля, а уязвимость была исправлена ​​лишь почти месяц спустя. 

Кроме того, второй вариант эксплойта, обнаруженный на Virustotal, имел еще более раннюю отметку времени — 18 декабря 2023 года.

Хотя Symantec признает, что это не «убедительное доказательство», поскольку отметки времени могут быть изменены, «в этом случае, похоже, у злоумышленников мало мотивации менять отметку времени на более раннюю дату».

Microsoft не сразу ответила на The Register< /em> запросы о том, видели ли его охотники за вредоносным ПО что-либо, что указывало бы на то, что CVE-2024-26169 была использована той же самой группой злоумышленников в качестве агента нулевого дня. Мы обновим эту историю, если получим ответ. ®

Новости сегодня

Последние новости