【安全资讯】Black Basta勒索软件团伙或利用Windows特权提升漏洞进行零日攻击

概要：

据Symantec威胁猎人团队的报告，Black Basta勒索软件团伙可能利用了一个现已修补的Windows特权提升漏洞（CVE-2024-26169）作为零日漏洞进行攻击。微软在三月的补丁星期二修补了该漏洞，并警告该漏洞可能允许攻击者在攻击过程中提升到SYSTEM级别的权限。尽管微软当时表示没有证据表明该漏洞在修补前被利用，但Symantec的分析显示，Black Basta可能在补丁发布前就已经利用了该漏洞。

主要内容：

Symantec威胁情报团队在周三的报告中指出，他们对Black Basta勒索软件团伙使用的一个漏洞利用程序的分析表明，该恶意代码可能在微软发布补丁前就已编译。这意味着至少有一个团伙可能利用该漏洞作为零日漏洞来完全控制目标Windows机器。尽管这次攻击未能成功，但Symantec指出，该失败的感染与微软在五月记录的Black Basta勒索软件活动有相似之处。

微软表示，他们观察到的攻击活动由一个名为Storm-1811的网络犯罪团伙（其他人称其为Cardinal或UNC4393）实施，该团伙自四月中旬以来一直通过社会工程攻击诱骗组织内部人员授予系统访问权限，从而感染勒索软件。Storm-1811滥用了微软的Quick Assist应用程序，并使用伪装成软件更新的批处理脚本在目标IT环境中部署Black Basta勒索软件。

Symantec的分析发现，该漏洞利用程序滥用了Windows的werkernel.sys在创建注册表项时使用空安全描述符的事实。由于父键具有“创建者所有者”访问控制项（ACE）用于子键，所有子键将由当前进程的用户拥有。该漏洞利用程序利用这一点创建了一个“HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe”注册表项，并将“Debugger”值设置为其自身的可执行路径名，从而允许以管理员权限启动shell。

Symantec还指出，该漏洞利用程序的一个变体时间戳为2月27日，而该漏洞直到近一个月后才被修补。此外，在Virustotal上发现的另一个变体的时间戳甚至更早，为2023年12月18日。尽管Symantec承认这不是“确凿证据”，因为时间戳可以被修改，但在这种情况下，攻击者似乎没有动机将时间戳更改为更早的日期。