CVE-2016-0167, un zéro jour dans le patch exploit adressé mardi Avril, a apparemment été tiré parti par des attaquants, la recherche révèle FireEye. Les cyber-criminels ont exploité la vulnérabilité dans des attaques ciblées sur plus de 100 Les entreprises américaines.
Le blog de FireEye sur la question révèle que les acteurs de la menace ont lancé des attaques de phishing lance en Mars de cette année. Les victimes des campagnes sont des entreprises dans diverses industries, tels que la vente au détail, restaurant, et de l'hospitalité.
CVE-2016-0167 Description officielle
(De cve.mitre.org)
Q Le pilote en mode noyau dans Microsoft Windows Vista SP2, Windows Server 2008 SP2 et R2 SP1, Fenêtres 7 SP1, Fenêtres 8.1, Windows Server 2012 L'or et R2, Windows RT 8.1, et Windows 10 L'or et 1511 permet aux utilisateurs locaux d'obtenir des privilèges via une application conçue, alias “Win32k vulnérabilité d'élévation de privilèges,” une vulnérabilité différente de celle CVE-2016-0143 et CVE-2016-0165.
Un regard dans l'attaque CVE-2016-0167
Où était l'escalade de la vulnérabilité des privilèges exactement situé? Dans le sous-système Windows Graphics win32l. “CVE-2016-0167 est une élévation locale de la vulnérabilité des privilèges dans le sous-système Windows Graphics win32k. Un attaquant qui avait déjà réalisé l'exécution de code à distance (RCE) pourrait exploiter cette vulnérabilité pour élever les privilèges“, les chercheurs écrivent FireEye.
En ce qui concerne les attaques de phishing lance, il est connu que les courriels d'hameçonnage de lance ont été envoyés contenant des pièces jointes Microsoft Word malveillants.
En savoir plus sur Le phishing et ses formes
Lors de l'ouverture de la pièce jointe, macros incorporées exécuterait un téléchargeur identifié comme Punchbuggy.
Qu'est-ce que Punchbuggy?
Il est un téléchargeur DLL, qui présente les deux versions 32 bits et 64 bits. Le téléchargeur transfère le code malveillant via HTTPS. Il a été employé par les attaquants pour interagir avec les systèmes ciblés et “se déplacer latéralement dans des environnements aux victimes“.
Cependant, la vulnérabilité exploit n'a pas fait le sale boulot par lui-même, comme il a été associé à un point de vente grattoir mémoire connu sous le nom Punchtrack. Le scénario a conduit à l'attaque au-dessus de 100 Les entreprises américaines, et en tant que piste de résultat 1 et 2 les données de carte de crédit ont été volés dans les systèmes de PoS des entreprises.
Heureusement, la vulnérabilité a été corrigé dans Microsoft mises à jour récentes. Cependant, si un système n'a pas appliqué le correctif, il peut encore être vulnérables. Si, assurez-vous que votre Windows est à jour, et ne donnent pas des attaquants un moyen de vous exploiter et vos finances.
Jettes un coup d'oeil à Dernières Patch Tuesday de Microsoft
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: