CVE-2016-0167, un exploit de día cero aborda en martes de parches de April, aparentemente ha sido aprovechado por atacantes, la investigación revela FireEye. Los ciberdelincuentes han explotado la vulnerabilidad en ataques dirigidos en más de 100 empresas de EE.UU..
el blog de FireEye en la materia da a conocer que los agentes de amenaza han iniciado ataques de phishing en marzo de este año. Las víctimas de las campañas incluyen empresas de diversos sectores, tales como el comercio minorista, restaurante, y hospitalidad.
CVE-2016-0167 Descripción oficial
(De cve.mitre.org)
Q El controlador en modo kernel de Microsoft Windows Vista SP2, Windows Server 2008 SP2 y R2 SP1, Ventanas 7 SP1, Ventanas 8.1, Windows Server 2012 Oro y R2, Windows RT 8.1, y Windows 10 El oro y la 1511 permite a usuarios locales conseguir privilegios a través de una aplicación manipulada, aka “Win32k vulnerabilidad de elevación de privilegios,” una vulnerabilidad diferente a CVE-2016-0143 y CVE-2016-0165.
Una mirada en el ataque CVE-2016-0167
¿Dónde estaba la escalada de privilegios vulnerabilidad ubicado exactamente? En el subsistema de gráficos de Windows win32l. “CVE-2016-0167 es una vulnerabilidad de elevación local de privilegios en el win32k subsistema de gráficos de Windows. Un atacante que ya habían alcanzado la ejecución remota de código (RCE) podría explotar esta vulnerabilidad para elevar los privilegios“, FireEye investigadores escriben.
En cuanto a los ataques de phishing de lanza, se sabe que los correos electrónicos de phishing de lanza se han enviado que contiene archivos adjuntos maliciosos Microsoft Word.
Aprender más acerca de Phishing y sus formas
Al abrir el archivo adjunto, macros incrustadas ejecutaría un programa de descarga identificado como Punchbuggy.
¿Qué es Punchbuggy?
Es un programa de descarga de DLL, que cuenta con las versiones de 32 bits y 64 bits. El programa de descarga transfiere código malicioso a través de HTTPS. Fue empleado por los atacantes para interactuar con los sistemas de destino y “mover lateralmente a través de entornos de víctima“.
Sin embargo, explotar la vulnerabilidad no hacer el trabajo sucio por sí mismo, ya que se combinó con una herramienta de raspado de memoria de punto de venta conocido como Punchtrack. El escenario llevó al ataque a lo largo 100 empresas de EE.UU., y como resultado pista 1 y 2 datos de tarjetas de crédito fueron robados de los sistemas de punto de venta de las empresas.
Por suerte, la vulnerabilidad se ha fijado en las actualizaciones recientes de Microsoft. Sin embargo, Si un sistema no ha aplicado la corrección, todavía puede ser vulnerable. Así, asegúrese de que su Windows está actualizada, y no dan atacantes una forma de explotar usted y sus finanzas.
Mira esto Último parche de Microsoft Martes