勒索軟體駭客Black Basta利用Windows零時差漏洞提升權限

今年3月微軟修補Windows錯誤回報服務的漏洞CVE-2024-26169（CVSS風險評分為7.8），一旦攻擊者利用這項漏洞，就有機會提升權限。但最近研究人員指出，有人在微軟修補之前將其用於攻擊行動。

資安業者賽門鐵克調查一起勒索軟體Black Basta攻擊事故，駭客組織Cardinal（Storm-1811、UNC4394）成功在受害電腦植入惡意程式DarkGate的載入工具之後，接著就部署CVE-2024-26169的漏洞利用工具，濫用系統檔案werkernel.sys並產生登錄檔，並將Debugger的數值設定為特定的路徑名稱，從而以管理員權限啟動Shell的系統權限。但稍微值得慶幸的是，這些駭客最終並未成功部署勒索軟體。

值得留意的是，研究人員找到的兩個惡意程式檔案，皆在微軟推出修補之前出現，其中一個是在今年2月27日製作，另一個則是在去年12月18日產生。這樣的情況，代表駭客至少在3個月前，就將其當作零時差漏洞用於攻擊行動。