CVE-2016-0167, un zero-day exploit indirizzato a di April Patch Martedì, è stato apparentemente sfruttata da aggressori, la ricerca FireEye rivela. I criminali informatici hanno sfruttato la vulnerabilità in attacchi mirati su più di 100 società statunitensi.
post sul blog di FireEye sulla questione rivela che gli attori delle minacce sono iniziati gli attacchi di spear phishing nel mese di marzo di quest'anno. Le vittime delle campagne comprendono aziende di diversi settori, come vendita al dettaglio, ristorante, e ospitalità.
CVE-2016-0167 descrizione ufficiale
(da cve.mitre.org)
Q Il driver in modalità kernel in Microsoft Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Oro e R2, RT di Windows 8.1, e Windows 10 oro e 1511 consente agli utenti locale di ottenere privilegi tramite un'applicazione artigianale, aka “Win32k Elevation of Privilege Vulnerability,” una vulnerabilità diverso rispetto CVE-2016-0143 e CVE-2016-0165.
Uno sguardo in attacco CVE-2016-0167
Dove era l'escalation di privilegi vulnerabilità esattamente ubicato? Nel sottosistema win32l di Windows Graphics. “CVE-2016-0167 è una elevazione locale dei privilegi vulnerabilità nel sottosistema di Windows Graphics win32k. Un utente malintenzionato che aveva già raggiunto esecuzione di codice remoto (RCE) potrebbe sfruttare questa vulnerabilità per elevare i privilegi“, ricercatori scrivono FireEye.
Per quanto riguarda gli attacchi di spear phishing, è noto che lancia email di phishing sono stati inviati contenenti allegati dannosi di Microsoft Word.
Impara di più riguardo Phishing e le sue forme
All'apertura l'allegato, macro incorporate eseguirà un downloader identificato come Punchbuggy.
Che cosa è Punchbuggy?
Si tratta di un downloader DLL, che ha entrambe le versioni a 32-bit e 64-bit. Il downloader trasferisce codice maligno tramite HTTPS. E 'stato impiegato dagli aggressori di interagire con i sistemi mirati e “muoversi lateralmente attraverso ambienti vittima“.
Tuttavia, la vulnerabilità exploit non ha fatto il lavoro sporco da solo, come è stato combinato con uno strumento point-of-sale raschiatura memoria noto come Punchtrack. Lo scenario ha portato l'attacco a oltre 100 società statunitensi, e come risultato binario 1 e 2 dati della carta di credito sono stati rubati dai sistemi POS delle società.
Per fortuna, la vulnerabilità è stato risolto in aggiornamenti più recenti di Microsoft. Tuttavia, Se un sistema non ha applicato la correzione, può ancora essere vulnerabile. Così, assicurarsi che il proprio Windows è up-to-date, e non dare attaccanti un modo per sfruttare voi e le vostre finanze.
Dai un'occhiata a I più recenti patch di Microsoft Martedì