近期发现了一个针对Windows的零日漏洞,受到臭名昭著的
勒索软件组织的攻击。这个漏洞被标识为CVE-2024-26169,攻击者利用它在微软发布补丁之前,提升了被攻击系统的权限。
理解零日漏洞及其利用
这个漏洞影响Windows错误报告服务,严重性评级为7.8,构成了相当大的威胁。它使恶意行为者能够获得SYSTEM权限,从而对受影响的系统进行全面控制。
研究人员发现,Black Basta
组织在错误报告服务中利用了一个最近修复的Windows漏洞(CVE-2024-26169),作为零日漏洞被利用。
— RSK Cyber Security (@RSKCyberSec)
微软于2024年3月12日对此关键问题做出了响应,在其补丁星期二活动中发布了更新。尽管在更新时没有立即报告存在积极利用的情况,但后来的网络安全专家的见解表明,该漏洞确实被利用为零日漏洞。
Black Basta如何利用该漏洞
赛门铁克的
揭露了一次勒索软件攻击的尝试,攻击者在首次感染后使用了CVE-2024-26169的利用工具,感染源为DarkGate加载器,这是BlackBasta在QakBot被取缔后常用的方法。
攻击者随后部署了伪装成软件更新的批处理脚本,这是一种Black Basta常用的技术。这些脚本执行恶意命令并在目标系统上建立持久性。
该利用工具特别利用了werkernel.sys文件管理安全描述符的漏洞,允许未经授权的更改系统注册表。
通过在HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File ExecutionOptions\WerFault.exe下创建注册表项,并将“Debugger”值更改为其自身的可执行文件,该工具使攻击者能够以SYSTEM权限启动shell,从而完全控制系统。
利用工具版本上的时间戳 – 一个日期为2024年2月27日,另一个甚至更早,为2023年12月18日 –
表明该利用工具在微软修复漏洞之前,可能已经准备并使用了长达85天。
如何保持安全
要保护你的系统免受像Black Basta这样的组织的攻击,需要及时采取行动。最有效的步骤是尽快安装最新的Windows安全更新。此外,遵循
可以帮助你增强防御,确保系统对这样的高级威胁不那么脆弱。
其他阅读 :
Anas Hasan
2024年6月13日
4个月前
Anas Hassan是一位科技爱好者和网络安全热衷者。他在数字化转型行业拥有丰富的经验。当Anas不在写博客时,他喜欢观看足球比赛。
