研究人员发现了一种利用特权提升漏洞来投放 Black Basta 勒索软件的攻击工具。美国网络安全和基础设施安全局 (CISA)根据主动利用的证据,将Windows 错误报告服务中的漏洞添加到其已知被利用漏洞目录中。这意味着联邦民事行政部门 (FCEB) 机构需要在 2024 年 7 月 4 日之前修复此漏洞,以保护其网络免受主动威胁。
该漏洞被列为CVE-2024-26169,这是一个 Windows 错误报告服务特权提升 (EoP) 漏洞。2024年 3 月补丁星期二的更新中包含了针对此漏洞的补丁。
据报道,该漏洞正被 Black Basta 勒索软件组织积极利用。研究人员发现了一个漏洞利用工具,该工具利用 Windows 文件在创建注册表项时使用空安全描述符这一事实werkernel.sys来启动具有管理权限的 shell。
空安全描述符意味着 Windows 错误报告服务创建注册表项时没有设置安全检查。因此,任何创建的子项都可以由当前运行该进程的用户控制。该漏洞利用此漏洞创建特定的注册表项并更改设置,以便它可以运行自己的程序而不是正常的 Windows 程序。
该工具会创建注册表项的子项
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options来实现这一点。图像文件执行选项 (IFEO) 用于调试。众所周知,恶意软件不仅会检查是否有处于活动状态的调试器,而且还会利用 IFEO 的功能为自己谋利。
在 VirusTotal 上搜索类似工具表明,该漏洞在被修补为零日漏洞之前就已被利用。
Black Basta 是一家勒索软件即服务运营商,其附属机构部署了多种方法来获取初始访问权限,包括技术支持诈骗,正如我们上个月报道的那样。
该组织近期愈发活跃,报告称过去三个月发动的袭击比过去两年中的任何时候都多。
2022 年 5 月至 2024 年 4 月期间 Black Basta 已知的攻击
Black Basta 是十大最活跃勒索软件组织之一。在我们最新的月度勒索软件评估中,它排名第八,是全球范围内重要的威胁行为者。
2024 年 5 月已知勒索软件攻击(按组织划分)
不久前,联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA)、卫生与公众服务部 (HHS) 和多州信息共享与分析中心 (MS-ISAC) 发布了关于 Black Basta 的联合 网络安全咨询 (CSA) 。该咨询提供了许多与 Black Basta 相关的入侵指标 (IOC) 和战术与技术,值得一读。
原文始发于微信公众号(Ots安全):Black Basta 勒索软件利用 Windows 错误报告服务漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论