Хакери използват zero-day уязвимост в Microsoft Windows, за да атакуват потребители от Източна Европа. Разкритието е на анализатори на ESET. Пробойната в сигурността на операционната система позволява неоторизиран локален администраторски достъп. Кибер престъпниците използват уязвимостта за таргетирани атаки и разпространяват зловреден софтуер чрез фишинг, прикрит заедно с легитимни документи.
Най-вероятно зад атаката стои хакерската група Buhtrap APT, пишат от ESET. Кибер престъпниците предимно атакуват потребители от Източна Европа и Централна Азия, а според анализа на ESET за първи път използват zero-day уязвимост и за кибер шпионаж.
През последните години Buhtrap актуализира похватите си, но основните методи, които използват не са се променили драстично, твърдят специалистите. Групировката все още разчита на NSIS инсталатори, които разпространява чрез фишинг. Зловредният софтуер се прикрива във файл, който е прикачен заедно с легитимни документи за отвличане вниманието на “жертвата”. Хакерите използват и инструмент за кражба на пароли от имейли и браузъри, които се изпращат до C&C сървърите. Така кибер престъпниците получават пълен достъп до компрометираната система.
Въпреки, че “почеркът” на атаките е характерен за Buhtrap, от ESET поясняват, че не могат да твърдят със сигурност, че зад тях стои точно тази групировка. Една от причините е, че използваният сорс код е свободно достъпен в мрежата.
Експлойтът използва уязвимост CVE-2019-1132 в Microsoft Windows, която позволява локално ескалиране на привилегиите. От Microsoft Security Response Center вече създадоха патч и отстраниха проблема, но версии на Windows, които не са ъпгрейднати продължават да са застрашени.
Вижте дали вашият Windows е уязвим!
Уязвимостта CVE-2019-1132 засяга:
- Windows 7 for 32-bit Systems Service Pack 1;
- Windows 7 for x64-Based Systems Service Pack 1;
- Windows Server 2008 for 32-bit Systems Service Pack 2;
- Windows Server 2008 for Itanium-Based Systems Service Pack 2;
- Windows Server 2008 for x64-Based Systems Service Pack 2;
- Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1;
- Windows Server 2008 R2 for x64-Based Systems Service Pack 1.
- Windows XP и Windows Server 2003 също са засегнати, но те не се поддържат от Microsoft.