CVE-2016-0167, en zero-day exploit rettet i Aprils Patch tirsdag, er tilsyneladende blevet gearede af angribere, FireEye forskning afslører. Cyber kriminelle har udnyttet sårbarhed i målrettede angreb på mere end 100 amerikanske virksomheder.
FireEye blog indlæg om sagen afslører, at trussel aktører har indledt spyd-phishing-angreb i marts i år. Ofre for kampagnerne omfatter virksomheder i forskellige brancher, såsom detailhandel, restaurant, og gæstfrihed.
CVE-2016-0167 Officiel beskrivelse
(Fra cve.mitre.org)
Q Den kernel-mode driver i Microsoft Windows Vista SP2, Windows Server 2008 SP2 og R2 SP1, Vinduer 7 SP1, Vinduer 8.1, Windows Server 2012 Guld og R2, Windows RT 8.1, og Windows 10 Guld og 1511 muligt for lokale brugere at opnå rettigheder via en udformet program, aka “Win32k udvidelse af rettigheder Sårbarhed,” en anden sårbarhed end CVE-2016-0143 og CVE-2016-0165.
Et kig ind i CVE-2016-0167 Attack
Hvor blev den eskalerende privilegier sårbarhed præcis placeret? I win32l Windows Graphics delsystem. “CVE-2016-0167 er en lokal udvidelse af rettigheder sårbarhed i win32k Windows Graphics delsystem. En hacker, som allerede havde opnået fjernkørsel af programkode (RCE) kunne udnytte denne sårbarhed til at ophøje privilegier“, FireEye forskere skrive.
Som for spear phishing-angreb, det er kendt, at spear phishing e-mails er blevet sendt ud, der indeholder ondsindede Microsoft Word-filer.
Lær mere om Phishing og dens former
Ved åbning af vedhæftede fil, indlejrede makroer ville udføre en downloader identificeret som Punchbuggy.
Hvad er Punchbuggy?
Det er en DLL downloadet, som har både 32-bit og 64-bit versioner. Den downloader overfører skadelig kode via HTTPS. Den blev ansat af angriberne til at interagere med målrettede systemer og “bevæge sig lateralt tværs ofre miljøer“.
Men, sårbarheden udnytte ikke gjorde det beskidte job af sig selv, som det blev kombineret med et point-of-sale hukommelse skrabeværktøj kendt som Punchtrack. Scenariet førte til angrebet på mere end 100 amerikanske virksomheder, og som et resultat track 1 og 2 kreditkort data blev stjålet fra selskabernes POS-systemer.
Heldigvis, sårbarheden er fastsat i de seneste opdateringer fra Microsoft. Men, hvis et system ikke har anvendt rettelsen, kan det stadig være sårbar. Så, sørg for din Windows er up-to-date, og ikke give angribere en måde at udnytte dig og din økonomi.
Tag et kig på Microsofts nyeste patch tirsdag
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: