Докладите за проблеми в Windows: Полезна функция или скрита вратичка за хакерите?
Изследователи на Symantec (компания за киберсигурност) са разкрили, че хакерите, свързани с рансъмуера Black Basta може да са употребявали неотдавна открита накърнимост в услугата за отчети за проблеми в операционната система Windows Error Reporting (WER) с цел да получат нараснали систематични привилегии. Тази накърнимост, известна като CVE-2024-26169, беше поправена от Microsoft през март тази година.
CVE-2024-26169 е накърнимост за увеличение на привилегиите с оценка 7,8 по CVSS. Тя разрешава на атакуващите да получат привилегии на систематичен админ. Анализът на инструмента за експлоатиране, употребен при последните офанзиви сподели, че съставянето му може да е било приключено преди уязвимостта да бъде закърпена, което демонстрира, че тя е била експлоатирана като накърнимост от нулев ден.
Symantec наблюдава тази финансово стимулирана група, наречена Cardinal, известна също като Storm-1811 и UNC4393. Тези хакери употребяват Black Basta, с цел да печелят от достъпа до системи, като постоянно получават първичен достъп посредством QakBot и DarkGate.
През последните месеци групата употребява законни артикули на Microsoft като Quick Assist и Teams, с цел да нападна потребителите. Според Microsoft нападателите изпращат известия и позвънявания посредством Teams, като се показват за ИТ чиновници, което води до погрешно потребление на Quick Assist, кражба на идентификационни данни посредством EvilProxy и потребление на SystemBC за обезпечаване на непрекъснат достъп и ръководство.
Функцията за отчети за проблеми в Windows 10 Symantec също по този начин съобщи, че е следила потреблението на този инструмент при несполучлива офанзива с рансъмуер.
Нападателите употребяват файла „ werkernel.sys “, който основава ключове от регистъра с нулев дескриптор за сигурност. По този метод се основава ключ на регистъра, който започва команден шел с административни привилегии.
Метаданните на прегледания образец на Black Basta демонстрират, че той е компилиран на 27 февруари тази година – няколко седмици преди уязвимостта CVE-2024-26169 да бъде закърпена. Друга извадка, открита във VirusTotal е с маркировка за компилиране от 18 декември 2023 година.
Говорител на Microsoft удостовери, че уязвимостта е била поправена през март и клиентите, които са конфигурирали кръпката са предпазени.
Потенциалното потребление на CVE-2024-26169 като накърнимост от нулев ден и внедряването на инстанция на Black Basta с нейна помощ може да има пагубни последствия. Това би разрешило на нападателите да получат цялостен неоторизиран достъп до сериозни системи и данни, което би парализирало доста организации.
За благополучие навременната кръпка на Microsoft предотврати огромна офанзива, само че този случай служи като съществено увещание за възходящото значение на отбраната против киберзаплахи.
