Luka w usłudze raportowania błędów systemu Microsoft Windows, która została zidentyfikowana i załatana trzy miesiące temu w aktualizacja z wtorku z łatką z marca 2024 rwydaje się być wykorzystywany jako dzień zerowy przez Czarna Basta ransomware gang, zanim zajęto się tym, użytkownicy zostali ostrzeżeni.
CVE-2024-26169 w marcu nie poświęcono mu zbyt wiele uwagi — uznano go za istotny ze względu na swoją wagę i przypisano mu bazową ocenę CVSS na poziomie 7,8, a Microsoft nie zidentyfikował żadnych publicznych dowodów koncepcji ani krążących exploitów. jeżeli nie zostanie rozwiązany, umożliwia atakującemu podniesienie swoich uprawnień, co może potencjalnie stanowić element łańcucha cyberataków.
Według zespołu Threat Hunter firmy Symantec, o czym wówczas Microsoft nie wiedział, wyglądało na to, iż rzeczywiście tak się stało. Badacze twierdzą, iż zidentyfikowali i przeanalizowali narzędzie wykorzystujące lukę CVE-2024-26169 wykorzystane w ostatnich atakach, które prawdopodobnie zostało skompilowane przed łataniem, zmieniając z mocą wsteczną status luki na dzień zerowy.
„Chociaż atakującym nie udało się wykorzystać w tym ataku systemu ransomware, zastosowane taktyki, techniki i procedury (TTP) były bardzo podobne do tych opisanych w niedawnym raporcie firmy Microsoft szczegółowo opisującym aktywność Black Basta. Obejmowały one wykorzystanie skryptów wsadowych udających aktualizacje oprogramowania” – powiedział zespół Threat Hunter Team.
„Chociaż nie użyto żadnego ładunku, podobieństwa w TTP sprawiają, iż jest wysoce prawdopodobne, iż był to nieudany atak Black Basta”.
Narzędzie exploita wydaje się opierać się na fakcie, iż określony plik werkernel.sys używa „null” deskryptora zabezpieczeń podczas tworzenia kluczy rejestru, a klucz nadrzędny ma wpis kontroli dostępu (ACE) „Creator Owner” dla podkluczy , wszystkie powstałe podklucze są własnością użytkowników bieżącego procesu.
Według Symantec gang zajmujący się oprogramowaniem ransomware wykorzystał to do utworzenia specjalnego klucza rejestru, w którym ustawia wartość „Debugger” jako nazwę ścieżki pliku wykonywalnego. To z kolei umożliwia exploitowi uruchomienie powłoki z uprawnieniami administratora.
Naukowcy stwierdzili, iż kilka miesięcy temu skompilowano dwa różne warianty narzędzia, które odkryli, pierwszy 18 grudnia 2023 r., a drugi 27 lutego 2024 r., chociaż ważne jest, aby zrozumieć, iż wartości znaczników czasu w przenośnych plikach wykonywalnych można zmieniać , a konkretny znacznik czasu sam w sobie nie jest wystarczającym dowodem na to, iż CVE-2024-26169 został użyty jako dzień zerowy.
Niemniej jednak Symantec stwierdził to, biorąc pod uwagę wznowienie ataków przez Black Basta zakłócenie ulubionego botnetu Qakbot w sierpniu 2023 rprawdopodobnie było tak, iż za tym konkretnym narzędziem stał gang.
Kevin Robertson, dyrektor operacyjny i współzałożyciel firmy Bystrośćstwierdził we wcześniejszych oświadczeniach, iż nie ma dowodów, iż CVE-2024-26169 mógł zwabić wielu administratorów cybernetycznych w fałszywe poczucie bezpieczeństwa, co spowodowało, iż łatka nie była traktowana priorytetowo w zwykłym comiesięcznym pośpiechu.
„Gangi cyberprzestępcze wykorzystują słabości wszechobecnego oprogramowania, takiego jak Microsoft, i wykorzystują je jako tylne drzwi do systemów” – powiedział. „Dostawcy systemu mają obowiązek ciągłego wyszukiwania i usuwania luk w zabezpieczeniach, w przeciwnym razie narażają swoich klientów na poważne ryzyko. Mają także obowiązek zbadać, czy luki w zabezpieczeniach zostały wykorzystane w środowisku naturalnym przed wydaniem łatek, ponieważ może to spowodować, iż organizacje nie osiągną kompromisu.
„Każda organizacja, która nie załatała jeszcze tego CVE, powinna to zrobić teraz, ponieważ w rękach przeciwnika takiego jak Black Basta stała się ona jedną z najniebezpieczniejszych współczesnych luk” – powiedział Robertson.
