احتمال سوء استفاده باج افزار Black Basta از نقص روز صفر در ویندوز مایکروسافت

بر اساس یافته‌های جدید سیمانتک، هکرها و گروه‌ سایبری مرتبط با باج ‌افزار Black Basta ممکن است از نقص افزایش سطح دسترسی اخیر فاش شده در سرویس گزارش خطای ویندوز مایکروسافت به عنوان یک آسیب پذیری روز صفر سوء استفاده کرده باشند.

نقص امنیتی مورد بحث (CVE-2024-26169 )، یک باگ افزایش سطح دسترسی در سرویس گزارش خطای ویندوز است که می‌تواند برای دستیابی به دسترسی SYSTEM مورد سوء استفاده قرار گیرد. این آسیب پذیری در مارس 2024 توسط مایکروسافت وصله شد.

گروه های وابسته به باج ‌افزار Black Basta، غالبا از تکنیک‌های دسترسی اولیه مانند فیشینگ و اکسپلویت آسیب پذیری های شناخته شده و سپس اخاذی مضاعف (رمزگذاری و استخراج داده) استفاده می‌کنند.

تجزیه و تحلیل یک اکسپلویت استفاده شده است در حملات باج‌ افزاری اخیر، حاکی از آن است که احتمالا گروه سایبری Cardinal  (با نام مستعار Storm-1811، UNC4393) مرتبط با باج ‌افزار Black Basta، از این آسیب ‌پذیری روز صفر سوء استفاده کرده است.

فایل werkernel.sys ویندوز، از یک توصیفگر امنیتی تهی هنگام ایجاد کلیدهای رجیستری استفاده می‌کند. اکسپلویت مورد نظر، از این مزیت برای ایجاد یک کلید رجیستری “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe” سوء  استفاده نموده و مقدار ” Debugger” را به عنوان نام مسیر اجرایی خود تنظیم کرده است.

این تنظیمات به اکسپلویت اجازه می‌دهد تا Shell را با سطح دسترسی admin  راه اندازی کند.

ابزار مورد استفاده در حمله اخیر (SHA256: 4aae231fb5357c0647483181aeae47956ac66e42b6b134f5b90da76d8ec0ac63) متعلق به 24 فوریه ۲۰۲۴ می‌باشد.

زمان کامپایل ابزار دوم کشف شده در Virus Total  نیز (SHA256: b73a7e25d224778172e394426c98b86215087d815296c71a3f76f738c720c1b0) متعلق به 22 دسامبر 2018 می‌باشد.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) سیزدهم ژوئن ۲۰۲۴، CVE-2024-26169 را رسماً به فهرست آسیب ‌پذیری‌های شناخته شده (KEV) خود افزود و دلیل آن را سوء استفاده از این آسیب پذیری در حملات باج‌ افزاری اعلام کرد. آژانس‌های فدرال موظفند تا چهارم ژوئیه 2024 پچ های مربوطه را اعمال کنند.

IoCها