详细内容或原文请订阅后点击阅览
Windows 错误报告:有用的功能或黑客的隐藏漏洞
Эксперты считают,что CVE-2024-26169 сти。
来源:安全实验室新闻频道专家认为,CVE-2024-26169可能已作为0day漏洞被长期利用。
赛门铁克研究人员发现,与 Black Basta 勒索软件相关的攻击者很可能利用 Windows 错误报告 (WER) 服务中新发现的漏洞来获取提升的系统权限。该漏洞被称为 CVE-2024-26169,由 Microsoft 于 2024 年 3 月修复。
赛门铁克 已找到, CVE-2024-26169,CVE-2024-26169 是一个权限升级漏洞,CVSS 评分为 7.8。它允许攻击者获得系统管理员权限。对近期攻击中使用的利用工具进行分析发现,编译可能在漏洞修补之前就已完成,表明其被用作零日漏洞。
零日漏洞赛门铁克正在追踪这个名为 Cardinal 的具有经济动机的组织,也称为 Storm-1811 和 UNC4393。这些攻击者使用 Black Basta 来通过对系统的访问来获利,通常通过 QakBot 和 DarkGate 获得初始访问权限。
近几个月来,该组织一直在使用合法的 Microsoft 产品(例如 Quick Assist 和 Teams)来攻击用户。据微软称,攻击者冒充 IT 人员通过 Teams 发送消息和呼叫,导致 Quick Assist 的滥用、使用 EvilProxy 的凭据盗窃以及使用 SystemBC 提供持久访问和命令控制。
赛门铁克还报告称,它观察到该工具被用于一次失败的勒索软件攻击尝试中。攻击者使用“werkernel.sys”文件,该文件创建带有空安全描述符的注册表项。这允许您创建一个注册表项,以启动具有管理权限的命令 shell。