.
A gangue de ransomware Black Basta pode ter explorado um bug de escalonamento de privilégios do Windows agora corrigido como um dia zero, de acordo com os caçadores de ameaças da Symantec.
A Microsoft tapou a lacuna no Windows Error Reporting Service no patch de março de terça-feira e alertou as organizações que a vulnerabilidade, rastreada como CVE-2024-26169, poderia permitir que um invasor elevasse privilégios ao todo-poderoso nível SYSTEM durante um ataque. Um invasor pode usar essa falha para comprometer uma conta de usuário individual e assumir o controle de toda a caixa como administrador, por exemplo.
Também na época, Redmond disse que não havia evidências de que a falha tivesse sido explorada antes da correção do Patch Tuesday. De acordo com a Symantec, entretanto, esse pode não ser o caso.
Em um artigo de quarta-feira, a equipe de inteligência sobre ameaças da Symantec disse que sua análise de uma exploração usada pela equipe do ransomware Black Basta para comprometer as vítimas indica que o código malicioso pode ter sido compilado antes da Microsoft lançar o patch.
O que significaria que “pelo menos um grupo pode estar explorando a vulnerabilidade como um dia zero” para obter controle total das máquinas Windows alvo.
Essa exploração específica foi usada em uma tentativa recente de infecção por ransomware, fomos informados. E embora o ataque não tenha sido bem-sucedido, a Symantec notou semelhanças entre a infecção fracassada que sua equipe investigou e uma campanha de ransomware Black Basta que a Microsoft documentou em maio.
Redmond disse que a campanha que observou foi realizada por uma gangue de crimes cibernéticos que rastreia como Storm-1811 (outros chamam a tripulação de Cardinal ou UNC4393) e que os ataques de engenharia social da tripulação – basicamente, enganando pessoas dentro das organizações para conceder aos criminosos acesso aos sistemas para infectar com ransomware – estava em andamento desde meados de abril. Storm-1811 abusou do aplicativo Quick Assist da Microsoft e usou scripts em lote disfarçados como atualizações de software para implantar o ransomware Black Basta em ambientes de TI alvo.
Essas táticas específicas, de acordo com a Symantec, são “altamente semelhantes” àquelas que seus investigadores observaram em sua própria investigação, tornando “altamente provável” que o que a equipe Symantec observou “foi um ataque fracassado de Black Basta”.
A análise da equipe sobre a exploração descobriu que ela abusa do fato de que o werkernel.sys do Windows usa um descritor de segurança nulo ao criar chaves de registro:
A equipe da Symantec também observou que a variante da exploração foi marcada com data e hora em 27 de fevereiro, e a vulnerabilidade só foi corrigida quase um mês depois.
Além disso, uma segunda variante da exploração que apareceu no Virustotal tinha um carimbo de data/hora ainda anterior, 18 de dezembro de 2023.
Embora a Symantec admita que esta não é uma “evidência conclusiva”, porque os carimbos de data e hora podem ser modificados, “neste caso, parece haver pouca motivação para os invasores alterarem o carimbo de data e hora para uma data anterior”.
A Microsoft não respondeu imediatamente a O registrosobre se seus caçadores de malware viram algo que indicasse que o CVE-2024-26169 foi explorado por esse mesmo grupo de malfeitores como um dia zero. Atualizaremos esta história se recebermos uma resposta. ®
.
