Η Υπηρεσία Κυβερνο
ασφάλεια
ς και Ασφάλειας Υποδομών των ΗΠΑ (CISA) πρόσθεσε μια ευπάθεια υψηλής σοβαρότητας των Windows που καταχράστηκε σε επιθέσεις ransomware ως μηδενική ημέρα στον κατάλογό της με ενεργά εκμεταλλευόμενα σφάλματα ασφαλείας.
Παρακολούθηση ως CVE-2024-26169, αυτό το ελάττωμα ασφαλείας προκαλείται από μια ακατάλληλη αδυναμία διαχείρισης προνομίων στην υπηρεσία αναφοράς σφαλμάτων των Windows. Η επιτυχής εκμετάλλευση επιτρέπει στους τοπικούς εισβολείς να αποκτήσουν δικαιώματα SYSTEM σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
Η
Microsoft
αντιμετώπισε το θέμα ευπάθειας στις 12 Μαρτίου 2024, κατά τη διάρκεια των μηνιαίων ενημερώσεων του Patch Tuesday. Ωστόσο, η εταιρεία δεν έχει ακόμη ενημερώσει
συμβουλευτική για την ασφάλεια
για να επισημάνετε την ευπάθεια ως εκμετάλλευση σε επιθέσεις.
Όπως αποκαλύφθηκε σε μια έκθεση που δημοσιεύθηκε νωρίτερα αυτή την εβδομάδα, οι ερευνητές ασφαλείας της Symantec βρήκαν στοιχεία ότι οι χειριστές της συμμορίας ransomware Black Basta (η ομάδα κυβερνοεγκλήματος Cardinal, που επίσης παρακολουθείται ως UNC4394 και Storm-1811) ήταν πιθανόν πίσω από επιθέσεις που έκαναν κατάχρηση του ελαττώματος ως μηδενική ημέρα.
Ανακάλυψαν ότι μια παραλλαγή του εργαλείου εκμετάλλευσης CVE-2024-26169 που αναπτύχθηκε σε αυτές τις επιθέσεις είχε χρονική σήμανση συλλογής της 27ης Φεβρουαρίου, ενώ ένα δεύτερο δείγμα είχε κατασκευαστεί ακόμη νωρίτερα, στις 18 Δεκεμβρίου 2023.
Όπως παραδέχτηκε η Symantec στην έκθεσή της, τέτοιες χρονικές σημάνσεις μπορούν εύκολα να τροποποιηθούν, καθιστώντας τα ευρήματα της μηδενικής εκμετάλλευσης ασαφή. Ωστόσο, υπάρχει ελάχιστο έως καθόλου κίνητρο για τους επιθετικούς να το κάνουν, καθιστώντας αυτό το σενάριο απίθανο.
Αυτό υποδηλώνει ότι η ομάδα ransomware είχε μια λειτουργική εκμετάλλευση μεταξύ
14
και 85 ημερών πριν η Microsoft κυκλοφορήσει ενημερώσεις ασφαλείας για να επιδιορθώσει το τοπικό ελάττωμα ανύψωσης προνομίων.
DEMO OF THE BLACK BASTA CVE-2024-26169 EXPLOIT (BLEEPINGCOMPUTER)
Τρεις εβδομάδες για την ασφάλεια των ευάλωτων συστημάτων
Οι υπηρεσίες των ομοσπονδιακών μη στρατιωτικών εκτελεστικών υπηρεσιών (FCEB) πρέπει να προστατεύουν τα συστήματά τους από όλα τα τρωτά σημεία που προστίθενται στον κατάλογο της CISA
Γνωστά εκμεταλλευόμενα τρωτά σημεία
σύμφωνα με μια δεσμευτική επιχειρησιακή οδηγία του Νοεμβρίου 2021 (BOD 22-01).
Την Πέμπτη,
Η CISA έδωσε πρακτορεία FCEB
τρεις εβδομάδες, έως τις 4 Ιουλίου, για να επιδιορθώσουν την ασφάλεια CVE-2024-26169 και να αποτρέψουν επιθέσεις ransomware που θα μπορούσαν να στοχεύουν τα δίκτυά τους.
Αν και η οδηγία ισχύει μόνο για ομοσπονδιακές υπηρεσίες, η υπηρεσία κυβερνοασφάλειας επίσης
προτρέπεται έντονα
Όλοι οι οργανισμοί να δώσουν προτεραιότητα στην επιδιόρθωση του ελαττώματος, προειδοποιώντας ότι “Αυτοί οι τύποι τρωτών σημείων είναι φορείς συχνών επιθέσεων για κακόβουλους φορείς του κυβερνοχώρου και θέτουν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση”.
Το Black Basta εμφανίστηκε ως επιχείρηση Ransomware-as-a-Service (RaaS) πριν από δύο χρόνια, τον Απρίλιο του 2022, μετά τη διάσπαση της συμμορίας Conti για το έγκλημα στον κυβερνοχώρο σε πολλαπλές φατρίες μετά από μια σειρά από ενοχλητικές παραβιάσεις δεδομένων.
Έκτοτε, η συμμορία έχει παραβιάσει πολλά θύματα υψηλού προφίλ, συμπεριλαμβανομένης της γερμανικής αμυντικής εταιρείας Rheinmetall, της βρετανικής εταιρείας εξωτερικής ανάθεσης
τεχνολογία
ς
Capita
τη Δημόσια Βιβλιοθήκη του Τορόντο, την Αμερικανική Οδοντιατρική Ένωση, τον κυβερνητικό ανάδοχο ABB, το ευρωπαϊκό τμήμα της Hyundai, τον Χρυσό Οδηγό Καναδά και τον αμερικανικό κολοσσό υγειονομικής περίθαλψης Ascension.
Η CISA και το FBI αποκάλυψαν ότι οι θυγατρικές του Black Basta ransomware έχουν χακάρει πάνω από 500 οργανισμούς μέχρι τον Μάιο του 2024, κρυπτογραφώντας συστήματα και κλέβοντας δεδομένα από τουλάχιστον 12 τομείς υποδομής ζωτικής σημασίας των ΗΠΑ.
Σύμφωνα με
έρευνα
από την Corvus Insurance και την εταιρεία κυβερνοασφάλειας Elliptic, ο Black Basta συγκέντρωσε τουλάχιστον 100 εκατομμύρια δολάρια σε πληρωμές λύτρων από περισσότερα από 90 θύματα μέχρι τον Νοέμβριο του 2023.
VIA:
bleepingcomputer.com
0