Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC) обнаружили эксплуатацию уязвимости нулевого дня, связанной с повышением привилегий в файловой системе Windows Common Log File System (CLFS).
Описание
Эта уязвимость была использована против организаций в сфере информационных технологий (ИТ) и недвижимости в США, финансового сектора в Венесуэле, испанской компании-разработчика программного обеспечения и сектора розничной торговли в Саудовской Аравии. Microsoft выпустила обновления безопасности для устранения уязвимости.
В ходе своего анализа Microsoft также обнаружила, что эксплойт был связан с вредоносным ПО PipeMagic, которое было использовано для развертывания программ-вымогателей. Злоумышленники ценят такие эксплойты, так как они позволяют им расширить свой доступ и детонировать программы-вымогатели в системе. Microsoft настоятельно рекомендует установку обновлений безопасности для уязвимостей, связанных с повышением привилегий, поскольку это поможет предотвратить атаки программ-вымогателей.
Анализ эксплойта CLFS показал, что эксплойт использует уязвимость в драйвере ядра CLFS, позволяющую злоумышленникам повысить привилегии. Хотя Microsoft не определила первоначальные векторы атак, некоторые действия, предшествующие эксплойтации, были обнаружены. Например, злоумышленники использовали утилиту certutil для загрузки вредоносного файла с легитимного веб-сайта. Загружаемый файл содержал вредоносную программу MSBuild, которая включала в себя вредоносную нагрузку PipeMagic.
Эксплойт CLFS использует различные техники для повышения привилегий и дальнейшего действия. Например, он использует API NtQuerySystemInformation для получения адресов ядра и API RtlSetAllBits для перезаписи токена процесса, позволяющего получить все привилегии. После успешной эксплуатации, злоумышленники распространяют файлы шифровальщика с произвольным расширением и требуют выкуп.
Indicators of Compromise
Domains
- aaaaabbbbbbb.eastus.cloudapp.azure.com
