Zero-day no Windows
12 de Junho de 2024

A operação de ransomware Black Basta está sob suspeita de explorar uma vulnerabilidade de escalonamento de privilégios do Windows( CVE-2024-26169 ) como um zero-day antes de ser disponibilizada uma correção.

A falha é uma questão de alta gravidade (CVSS v3.1: 7.8) no Windows Error Reporting Service, permitindo aos atacantes elevar seus privilégios para SYSTEM.

A Microsoft corrigiu a falha em 12 de março de 2024, por meio de suas atualizações mensais do Patch Tuesday, enquanto seu status na página do fornecedor mostra que não houve exploração ativa.

Um relatório da Symantec diz que o CVE-2024-26169 foi explorado ativamente pelo grupo Cardinal de cibercrime (Storm-1811, UNC4394), os operadores da gangue Black Basta, observando que há uma boa chance de ter sido utilizado como um zero-day.

A Symantec investigou uma tentativa de ataque de ransomware onde uma ferramenta de exploração para o CVE-2024-26169 foi implantada após uma infecção inicial pelo loader DarkGate, que o Black Basta tem usado desde a derrubada do QakBot.

Os analistas acreditam que os atacantes estão ligados ao Black Basta porque eles usaram scripts batch que se disfarçam como atualizações de software projetadas para executar comandos maliciosos e estabelecer persistência em sistemas comprometidos, uma tática comum para este grupo.

A ferramenta de exploração observada aproveita o fato de que o arquivo do Windows werkernel.sys usa um descritor de segurança nula ao criar chaves de registro.

A ferramenta explora isso para criar uma chave de registro (HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe) e define o valor "Debugger" para seu próprio caminho executável, permitindo que ele inicie um shell com privilégios de SYSTEM.

Um aspecto fascinante dos achados da Symantec é que uma variante da ferramenta de exploração tem um timestamp de compilação datado de 27 de fevereiro de 2024, enquanto uma segunda amostra foi construída ainda mais cedo, em 18 de dezembro de 2023.

Isso significa que o Black Basta tinha uma ferramenta de exploração funcional entre 14 e 85 dias antes da Microsoft eventualmente disponibilizar uma correção para a questão de elevação de privilégios.

Embora os timestamps em executáveis portáteis possam ser modificados, como a Symantec admite, tornando a descoberta inconclusiva quanto a se a exploração zero-day ocorreu, parece haver pouca motivação para os atacantes falsificarem os timestamps, tornando esse cenário improvável.

Black Basta, uma operação de ransomware que se acredita estar ligada ao agora extinto sindicato de cibercrime Conti, demonstrou anteriormente especialização em abusar de ferramentas Windows e um entendimento profundo da plataforma.

Um aviso de maio de 2024 da CISA e do FBI destacou a atividade em alto volume do Black Basta, responsabilizando seus afiliados por 500 violações desde abril de 2022, época de seu lançamento.

A empresa de análise de blockchain Elliptic relatou em novembro de 2023 que a operação de ransomware havia arrecadado mais de $100 milhões em pagamentos de resgate.

Para mitigar o uso dessa vulnerabilidade pelo Black Basta, é essencial aplicar a última atualização de segurança do Windows e seguir as diretrizes compartilhadas pela CISA.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...