Black Basta 勒索软件利用 Windows 错误报告服务漏洞

admin 2024年6月20日16:41:01评论10 views字数 1081阅读3分36秒阅读模式

Black Basta 勒索软件利用 Windows 错误报告服务漏洞

研究人员发现了一种利用特权提升漏洞来投放 Black Basta 勒索软件的攻击工具。美国网络安全和基础设施安全局 (CISA)根据主动利用的证据,将Windows 错误报告服务中的漏洞添加到其已知被利用漏洞目录中。这意味着联邦民事行政部门 (FCEB) 机构需要在 2024 年 7 月 4 日之前修复此漏洞,以保护其网络免受主动威胁。

该漏洞被列为CVE-2024-26169,这是一个 Windows 错误报告服务特权提升 (EoP) 漏洞。2024年 3 月补丁星期二的更新中包含了针对此漏洞的补丁。

据报道,该漏洞正被 Black Basta 勒索软件组织积极利用。研究人员发现了一个漏洞利用工具,该工具利用 Windows 文件在创建注册表项时使用空安全描述符这一事实werkernel.sys来启动具有管理权限的 shell。

空安全描述符意味着 Windows 错误报告服务创建注册表项时没有设置安全检查。因此,任何创建的子项都可以由当前运行该进程的用户控制。该漏洞利用此漏洞创建特定的注册表项并更改设置,以便它可以运行自己的程序而不是正常的 Windows 程序。

该工具会创建注册表项的子项

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options

来实现这一点。图像文件执行选项 (IFEO) 用于调试。众所周知,恶意软件不仅会检查是否有处于活动状态的调试器,而且还会利用 IFEO 的功能为自己谋利。

在 VirusTotal 上搜索类似工具表明,该漏洞在被修补为零日漏洞之前就已被利用。

Black Basta 是一家勒索软件即服务运营商,其附属机构部署了多种方法来获取初始访问权限,包括技术支持诈骗,正如我们上个月报道的那样。

该组织近期愈发活跃,报告称过去三个月发动的袭击比过去两年中的任何时候都多。

Black Basta 勒索软件利用 Windows 错误报告服务漏洞

2022 年 5 月至 2024 年 4 月期间 Black Basta 已知的攻击

Black Basta 是十大最活跃勒索软件组织之一。在我们最新的月度勒索软件评估中,它排名第八,是全球范围内重要的威胁行为者。

Black Basta 勒索软件利用 Windows 错误报告服务漏洞

2024 年 5 月已知勒索软件攻击(按组织划分)

不久前,联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA)、卫生与公众服务部 (HHS) 和多州信息共享与分析中心 (MS-ISAC) 发布了关于 Black Basta 的联合 网络安全咨询 (CSA)  。该咨询提供了许多与 Black Basta 相关的入侵指标 (IOC) 和战术与技术,值得一读。

原文始发于微信公众号(Ots安全):Black Basta 勒索软件利用 Windows 错误报告服务漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月20日16:41:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Black Basta 勒索软件利用 Windows 错误报告服务漏洞http://cn-sec.com/archives/2866511.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息