Af Eskil Sørensen, 13/06/24
Ransomwaregruppen Black Basta er mistænkt for at udnytte en privilegieeskaleringssårbarhed i Windows som en 0-dag, før en rettelse blev gjort tilgængelig.
Det skriver Bleeping Computer.
Fejlen har id’et CVE-2024-26169 og en score på 7,8 på CVSS-skalaen. Selv om den ikke betegnes som kritisk, som sårbarheder med en score på mellem 9 og 10 bliver det, så er den alvorlig nok for de brugere, der har været ramt af en udnyttelse. Fejlen, som findes i Windows Error Reporting Service, gør det nemlig muligt for angribere at ophøje deres privilegier til SYSTEM.
Microsoft rettede fejlen den 12. marts 2024 via Patch Tuesday, og der blev dengang ikke rapporteret om evt. aktive udnyttelser.
Måske udnyttet af Black Basta
Imidlertid viser en rapport fra Symantec, som Bleeping Computer refererer, at der er en god chance for, at CVE-2024-26169 er blevet aktivt udnyttet som en nul-dag af en gruppe, der kaldes Cardinal, som bliver knyttet til den mere kendte Black Basta-gruppe.
Anledningen til rapporten er, at Symantec undersøgte et forsøg på ransomware-angreb, hvor et udnyttelsesværktøj til CVE-2024-26169 blev implementeret. Implementeringen skete angiveligt efter en indledende infektion af DarkGate-readeren, hvilket er en metode som Black Basta har brugt siden banktrojaneren QakBot blev taget ned. Det observerede udnyttelsesværktøj udnyttede det faktum, at Windows-filen werkernel.sys bruger en null security descriptor ved oprettelse af registreringsdatabasenøgler.
Analytikerne hos Symantic er af den opfattelse, at angriberne er knyttet til Black Basta, fordi de brugte batch-scripts, der forklæder sig som softwareopdateringer. Scripts, som er designet til at køre ondsindede kommandoer og etablere ”persistence” på kompromitterede systemer. Denne metode er kendt som værende brugt af Black Basta.
Samtidig kunne analytikerne se, at en variant af udnyttelsesværktøjet har et kompileringstidsstempel dateret den 27. februar 2024, mens en anden prøve blev bygget endnu tidligere, den 18. december 2023. Det får Symantic til at konkludere, at Black Basta havde et fungerende udnyttelsesværktøj i mellem 14 og 85 dage, før Microsoft fik patchet sårbarheden. Men det fremgår også, at tidsstempler i bærbare eksekverbare filer kan modificeres, hvilket gør det usikkert om 0-dagsudnyttelsen fandt sted i den periode. Men på den anden side mener Symantic, at det er usandsynligt, at angribere skulle har en interesse i at forfalske tidsstemplerne.
Bleeping Computer skriver, at Black Basta menes at være forbundet med det nu hedengangne Conti-gruppe. Black Basta har tidligere demonstreret, at de har ekspertise i at misbruge Windows-værktøjer og en dybtgående forståelse af platformen.
Links:
https://www.bleepingcomputer.com/news/security/black-basta-ransomware-ga...