Mer information har dykt upp om de två Windows-noll-dagar som Microsoft lappat denna tisdag, som ett led i sin regelbundna Patch tisdag parti av säkerhetsuppdateringar.
Proof-of-concept (PoC) för kod har också publicerats i en, vilket gör zero-day attraktiv för en bredare publik av it-brottslingar.
PoC för första Windows zero-day nu tillgänglig
PoC publicerades tidigare idag av Kinesiska it-säkerhet säljaren Qihoo 360 Core. PoC är en Windows 7 zero-day (CVE-2019-0808) att Google upptäckte i slutet av februari.
Googles säkerhetsgrupp sade zero-day var en del av en Windows 7 och Chrome zero-day-combo som var missbrukas i det vilda.
Google lappat Chrome zero-day (CVE-2019-5786) för två veckor sedan, och Microsoft lappat Windows 7 zero-day (CVE-2019-0808) denna vecka.
Microsoft sade zero-day påverkat Win32k komponent i Windows 7 och Windows Server 2008-operativsystem för att göra det möjligt för angripare att köra kod med admin rättigheter.
I en rapport som publiceras idag, Qihoo 360 forskare bröt då Windows 7 zero-day exploatering kedja med exempel som kan sättas samman till en fungerande utnyttja.
Det Kinesiska företaget visade också att detta zero-day hade använts för att “APT-attacker,” där APT står för Advanced Persistent Threat, en it-säkerhet teknisk term som används för att beskriva nation-state cyber-spionage grupper.
Andra Windows zero-day också missbrukas i APT-attacker
Den andra zero-day-som Microsoft lagas på tisdagen var också missbrukas för APT-attacker, enligt ett blogginlägg som publicerades i går av ryska it-säkerhetsföretaget Kaspersky Lab.
Detta zero-day (CVE-2019-0797) är nästan identisk med den som påverkar Windows 7 men har även fördelen av att arbeta på alla Windows OS-versioner också. Precis som windows zero-day upptäckt av Google, detta påverkade också Win32k komponent och var också en höjd av förmånen som låter angripare att köra kod med admin rättigheter.
Kaspersky sade detta zero-day var missbrukas av inte en, utan två APT grupper –nämligen FruityArmor och SandCat.
Detta är den fjärde Windows zero-day att Kaspersky har upptäckt att missbrukas i det vilda av FruityArmor APT. Gruppen verkar för att vara en expert på att hitta nya Windows behörighetshöjning utnyttjar.
De tidigare missbrukat CVE-2018-8453 (Windows zero-day lagas i oktober 2018), CVE-2018-8589 (lagas i November 2018), och CVE-2018-8611 (lagas i December 2018).
November zero-day (CVE-2018-8589) var också missbrukas av SanndCat, en ny grupp på APT-scenen som Kaspersky har några detaljer-såsom dess användning av Mars (CVE-2019-0797) och November (CVE-2018-8589) noll-dagar, CHAINSHOT utnyttja, och FinFisher/FinSpy hacka ram.
Vad allt detta berättar experter är att det finns åtminstone någon typ av anslutning mellan dessa två APTs –FruityArmor och SandCat. De är antingen förvaltas av samma underrättelsetjänsten, eller om de är att köpa Windows noll dagar från samma utnyttja säljaren.
Mer sårbarhet rapporter:
Apple, Google, GoDaddy misissued TLS-certifikat med svag seriell numbersMicrosoft Mars Patch tisdag kommer med korrigeringar för två Windows-noll-dagar
Nya BitLocker attack sätter bärbara datorer lagra känslig data på riskWDS bugg gör att hackare kapa Windows-Servrar via felaktigt TFTP packetsVulnerability i Schweiziska e-röstningssystem som kunde ha lett till att rösta alterationsCisco berättar Nexus byta ägare för att inaktivera POAP funktionen för säkerhet reasonsDJI åtgärdar säkerhetsproblem som gör att hackare spy på drönare CNETTop 10 appen sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Windows
Säkerhet-TV
Hantering Av Data
CXO
Datacenter