CVE-2016-0167, een zero-day exploit behandeld in April's Patch Tuesday, is blijkbaar leveraged door aanvallers, FireEye onderzoek blijkt. Cybercriminelen hebben de kwetsbaarheid in gerichte aanvallen uitgebuit op ruim 100 Amerikaanse bedrijven.
FireEye's blog post op de zaak beschrijft dat bedreiging acteurs-spear phishing-aanvallen maart zijn begonnen dit jaar. Slachtoffers van de campagnes bedrijven in verschillende industrieën, zoals de detailhandel, restaurant, en gastvrijheid.
CVE-2016-0167 Officiële Beschrijving
(vanaf cve.mitre.org)
Q De kernel-mode driver in Microsoft Windows Vista SP2, Windows Server 2008 SP2 en R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Goud en R2, Windows RT 8.1, en Windows 10 goud en 1511 maakt lokale gebruikers om rechten te krijgen via een vervaardigde toepassing, aka “Win32k misbruik van bevoegdheden,” een andere kwetsbaarheid dan CVE-2016-0143 en CVE-2016-0165.
Een kijkje in de CVE-2016-0167 Attack
Waar was de escalatie van privileges kwetsbaarheid precies gelegen? In de win32l Windows grafische subsysteem. “CVE-2016-0167 is een lokaal misbruik van bevoegdheden in de win32k Windows grafische subsysteem. Een aanvaller die al het uitvoeren van externe code had bereikt (RCE) kan dit beveiligingslek te privileges verheffen exploiteren“, FireEye onderzoekers schrijven.
Wat betreft de spear phishing-aanvallen, Het is bekend dat spear phishing e-mails zijn verzonden met schadelijke Microsoft Word attachments.
Leer meer over Phishing en zijn vormen
Bij het openen van de bijlage, ingebed macro's zou een downloader geïdentificeerd als Punchbuggy voeren.
Wat is Punchbuggy?
Het is een DLL downloader, die zowel 32-bits en 64-bits versies heeft. De downloader draagt kwaadaardige code door middel van HTTPS. Hij was in dienst van de aanvallers om te communiceren met de beoogde systemen en “bewegen zijdelings over slachtoffer omgevingen“.
Echter, het beveiligingslek misbruiken niet het vuile werk niet doen door zelf, zoals het werd gecombineerd met een point-of-sale geheugen schaafwerktuig zogenaamde Punchtrack. Het scenario leidde tot de aanval over meer dan 100 Amerikaanse bedrijven, en dientengevolge baan 1 en 2 credit card gegevens werden gestolen uit POS-systemen van de bedrijven.
Gelukkig, de kwetsbaarheid is vastgesteld in de laatste Microsoft-updates. Echter, Als een systeem de correctie is toegepast, het kan nog steeds kwetsbaar. Dus, zorg ervoor dat uw Windows up-to-date, en geen aanvallers geven een manier om u en uw financiën te exploiteren.
Kijk even naar Microsoft's nieuwste Patch Tuesday