CISA 稱 Windows 漏洞可能被利用于勒索軟件攻擊

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 將勒索軟件攻擊中濫用的高嚴(yán)重性 Windows 漏洞作為零日漏洞，添加到其主動(dòng)利用的安全漏洞目錄中。

此安全漏洞編號(hào)為 CVE-2024-26169，是由 Windows 錯(cuò)誤報(bào)告服務(wù)中不當(dāng)?shù)臋?quán)限管理漏洞引起的，利用此漏洞可讓本地攻擊者在無需用戶交互的低復(fù)雜度攻擊中獲得系統(tǒng)權(quán)限。

微軟在 2024 年 3 月 12 日的每月補(bǔ)丁星期二更新中解決了該漏洞。

本周發(fā)布的一份報(bào)告顯示，安全研究人員發(fā)現(xiàn)有證據(jù)表明，Black Basta 勒索軟件團(tuán)伙(Cardinal 網(wǎng)絡(luò)犯罪集團(tuán)，也被追蹤為 UNC4394 和 Storm-1811)的運(yùn)營者很可能是利用該漏洞作為零日漏洞進(jìn)行攻擊的幕后黑手。

他們發(fā)現(xiàn)，在這些攻擊中部署的 CVE-2024-26169 漏洞利用工具的一個(gè)變體的編譯時(shí)間為 2 月 27 日，而第二個(gè)樣本的構(gòu)建時(shí)間甚至更早，為 2023 年 12 月 18 日。

正如安全研究機(jī)構(gòu)在其報(bào)告中承認(rèn)的那樣，這些時(shí)間很容易被修改，這使得他們的零日漏洞利用結(jié)果不確定。然而，攻擊者這樣做的動(dòng)機(jī)很少甚至沒有，因此這種情況不太可能發(fā)生。

種種跡象表明，勒索軟件組織在微軟發(fā)布安全更新來修補(bǔ)本地特權(quán)提升漏洞之前的 14 到 85 天內(nèi)就已存在漏洞。

BLACK BASTA CVE-2024-26169 漏洞演示

盡快保護(hù)易受攻擊的系統(tǒng)

根據(jù) 2021 年 11 月的具有約束力的運(yùn)營指令 (BOD 22-01)，聯(lián)邦民事行政部門機(jī)構(gòu) (FCEB) 必須保護(hù)其系統(tǒng)免受 CISA 已知利用漏洞目錄中添加的所有漏洞的攻擊。

CISA 要求 FCEB 機(jī)構(gòu)在 7 月 4 日前修補(bǔ) CVE-2024-26169 安全漏洞，并阻止可能針對(duì)其網(wǎng)絡(luò)的勒索軟件攻擊。

盡管該指令僅適用于聯(lián)邦機(jī)構(gòu)，但網(wǎng)絡(luò)安全機(jī)構(gòu)也強(qiáng)烈敦促要優(yōu)先修復(fù)該漏洞，并警告稱“此類漏洞是惡意分子的常見攻擊媒介，對(duì)企業(yè)構(gòu)成重大風(fēng)險(xiǎn)?！?/span>

早在 2022 年 4 月，Conti 網(wǎng)絡(luò)犯罪團(tuán)伙在發(fā)生一系列令人尷尬的數(shù)據(jù)泄露事件后分裂為多個(gè)派系，隨后 Black Basta 作為一家勒索軟件即服務(wù) (RaaS) 組織出現(xiàn)。

自那時(shí)起，該團(tuán)伙已入侵了許多受害者，包括德國國防承包商萊茵金屬、英國技術(shù)外包公司 Capita、多倫多公共圖書館、美國牙科協(xié)會(huì)、政府承包商 ABB、現(xiàn)代歐洲分部、加拿大黃頁和美國醫(yī)療保健巨頭 Ascension等等。

據(jù)CISA 和 FBI 透露，截至 2024 年 5 月，Black Basta 勒索軟件的附屬機(jī)構(gòu)已入侵了 500 多個(gè)組織，加密了系統(tǒng)并竊取了至少 12 個(gè)美國關(guān)鍵基礎(chǔ)設(shè)施部門的數(shù)據(jù)。

根據(jù)網(wǎng)絡(luò)安全公司研究數(shù)據(jù)，截至 2023 年 11 月，Black Basta 從 90 多名受害者那里收取了至少 1 億美元的贖金。

參考及來源：https://www.bleepingcomputer.com/news/security/cisa-warns-of-windows-bug-exploited-in-ransomware-attacks/

來源：嘶吼專業(yè)版