Symantec 的威脅調查專家最近指出,Black Basta 勒索軟件集團可能利用了一個已被修補的 Windows 權限升級漏洞作為零日漏洞進行攻擊,可見黑客行動的迅速不容忽視。
Microsoft 在三月的「星期二例行更新」中修復了一個編號為 CVE-2024-26169 的漏洞。該漏洞容許攻擊者將權限提升到 SYSTEM 級別,從而有可能使攻擊者透過被入侵的帳戶接管整個系統。
Microsoft 最初表示,沒有證據表明該漏洞在修補之前被利用過。不過 Symantec 最近的分析發現,Black Basta 勒索軟件集團使用了一個可能在修補更新發佈前編譯好的漏洞來入侵受害者。這意味著黑客可能利用了這個零日漏洞,嘗試獲得對目標 Windows 系統的完全控制權。
Symantec 表示,這次攻擊與 Microsoft 在 5 月曾經記錄的 Black Basta 攻擊事件有相似之處,所使用的策略(如濫用 Microsoft 的「快速輔助」應用程式和使用偽裝成軟件更新的批次處理腳本)非常相似,不過該攻擊最後並沒有成功。
Symantec 指當時被利用的漏洞時間標記為修補更新發佈前的 2 月 27 日,以及 2023 年 12 月 18 日,雖然時間標記可以修改,但黑客沒太大動機去修改這個時間標記,因此得出漏洞修補之前有被利用跡象的結論。
來源:The Register