Mere detaljer er dukket op om de to Windows nul-dage, at Microsoft patched denne tirsdag, som en del af den regelmæssige Patch tirsdag parti af sikkerhedsopdateringer.
Proof-of-concept (PoC) kode er også blevet offentliggjort i ét, hvilket gør zero-day attraktivt for endnu en bredere målgruppe af cyber-kriminelle.
PoC for første Windows nul-dag, nu tilgængelig
PoC blev offentliggjort tidligere i dag, som de Kinesiske cyber-sikkerhed sælger Qihoo 360 Core. PoC er en Windows 7-nul-dag (CVE-2019-0808), at Google opdaget i slutningen af februar.
Google security team sagde zero-day var en del af en Windows 7 og Chrome zero-day-combo, der var ved at blive misbrugt i naturen.
Google har patchet Chrome nul-dag (CVE-2019-5786) for to uger siden, og Microsoft patched Windows 7 zero-day (CVE-2019-0808) i denne uge.
Microsoft sagde, at zero-day påvirket Win32k komponent i Windows 7 og Windows Server 2008 operativsystemer til at gøre det muligt for angribere at køre kode med admin rettigheder.
I en rapport offentliggjort i dag, Qihoo 360 forskere brød derefter Windows 7 zero-day ‘ s udnyttelse kæde med eksempler, der kunne samles til en, der arbejder udnytte.
Den Kinesiske virksomhed, der afslørede også, at dette nul-dag havde været brugt til “APT-angreb,” hvor APT står for ” Advanced Persistent Threat, en cyber-sikkerhed, teknisk term, der anvendes til at beskrive nation-state cyber-spionage grupper.
Anden Windows nul-dag, også misbrugt APT-angreb
Den anden nul-dag, som Microsoft har lappet på tirsdag blev også misbrugt for APT-angreb, ifølge en blog indlæg offentliggjort i går af russiske it-sikkerhedsfirma Kaspersky Lab.
Denne zero-day (CVE-2019-0797) er næsten identisk med den ene, der påvirker Windows 7, men har også den ekstra fordel af at arbejde på alle Windows OS-versioner, så godt. Ligesom windows nul-dag opdaget af Google, og dette påvirkede også Win32k komponent og var også en udvidelse af rettigheder, der lader angribere køre kode med admin rettigheder.
Note: denne nul-dag blev misbrugt af ikke én, men to APT grupper-nemlig FruityArmor og SandCat.
Dette er den fjerde Windows nul-dag, at Kaspersky har opdaget, at blive misbrugt i det vilde ved den FruityArmor APT. Gruppen synes at være en ekspert i at finde nye Windows udvidelse af rettigheder udnytter.
De tidligere misbrugt CVE-2018-8453 (Windows nul-dag lappet i oktober 2018), CVE-2018-8589 (lappet i November 2018), og CVE-2018-8611 (lappet i December 2018).
November nul-dag (CVE-2018-8589) blev også misbrugt af SanndCat, en ny gruppe på APT scene om hvilken Kaspersky har få detaljer-såsom brugen af Marts (CVE-2019-0797) og November (CVE-2018-8589) nul-dage, CHAINSHOT udnytte, og FinFisher/FinSpy hacking ramme.
Hvad alt dette fortæller eksperter er, at der er i hvert fald en vis form for forbindelse mellem disse to APTs –FruityArmor og SandCat. De er enten styret af den samme intelligens service, eller de køber Windows nul-dage fra den samme udnyttelse sælger.
Mere sårbarhed rapporter:
Apple, Google, GoDaddy misissued TLS-certifikater med svage seriel numbersMicrosoft Marts Patch tirsdag kommer med rettelser til Windows nul-dage
Nye BitLocker angreb sætter bærbare computere til at gemme følsomme data på riskWDS fejl lader hackere kapre Windows-Servere via misdannet TFTP packetsVulnerability i Schweiziske e-valgsystem, der kunne have ført til afstemning alterationsCisco fortæller Nexus skifte ejere til at deaktivere POAP funktionen for sikkerhed reasonsDJI rettelser svaghed, at lade potentielle hackere spion på droner CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Windows
Sikkerhed-TV
Data Management
CXO
Datacentre