黑客 59 萬售賣 Windows 最新零日漏洞

雷鋒網 於 06/06/2016 發表 收藏文章
一位名叫“BuggiCorp”的黑客近日在暗網黑市上兜售一種新的零日漏洞,號稱可以利用這個漏洞在Windows所有版本中獲取到最高的系統運營權限。

安全公司Trustawave發現,這個漏洞首次出現在俄羅斯的一個暗網黑客論壇上是在五月初,當時售價9.5萬美元(摺合成人民幣約62萬),一週前這個帖子再次被更新,價格並將價格改為9萬美元(摺合成人民幣約59萬)。


據了解,零日漏洞的生意較黑市上售賣的其他產品來説難做一些,因為這其中需要一定的信任才能完成交易,通常通過個人的人脈進行銷售,因此,Trustawave對這個在黑客論壇上公開銷售的零日漏洞有些驚訝。

在“BuggiCorp”發佈的售賣信息中,為了證明這個漏洞的價值,他還專門貼出了兩個關於這個零日漏洞的演示視頻。一個視頻中,黑客用這個漏洞在一個安裝更新了5月發佈的最新補丁的Window 10操作上,成功獲得了最高操作權限;另一個視頻中他用漏洞分析成功地繞過了微軟所有的安全防禦功能,包括最新版本的EMET 工具包。

引用EMET工具包的全稱為Enhanced Mitigation Experience Toolkit,是微軟提供一種用以減少軟件漏洞被利用的安全軟件,其主要防禦對象就是零日漏洞。

除了視頻,“BuggiCorp”還在帖子中列出了一些詳細技術資料。從這些技術資料中可以得知,從Windows2000開始起,這個漏洞就存在於所有系統版本當中,主是由於不正確的處理窗口對象時而生成的,且十分具有成為高級持續性威脅(APT)的潛力。

這個漏洞的源代碼與樣本都用C語言寫入了微軟的VC運行庫2005,其輸出是一個“庫(lib)”文件,可以連接到系統的其他代碼。它能夠從沙盒中逃逸,在ring0上安裝漏洞利用包,繞過了ASLR(地址空間佈局隨機化)、DEP(數據執行保護)、SMEP(管理模式執行保護)等防護設置,篡改系統屬性以獲得持續感染能力,並能夠在僅有管理員才能安裝新程序的設備上,下載並安裝更多的惡意軟件。

“BuggiCorp”稱,因為此漏洞對Windows系統所有版本都有效,有可能會影響到全球範圍內的15億用户。

他還表示表示,希望用比特幣進行支付,如果有必要的話,可以通過論壇管理員來完成交易。並且,他只會將這個漏洞賣給一位賣家,這位賣家會得到這個漏洞的源代碼、功能完整的小樣、微軟完整開發工具集(Microsoft Visual Studio)2005,以及這個漏洞未來在任何Windows版本上無法運行時的更新。

通過著名政府軟件開發供應商Zerodium往日的價格表,與一份戴爾報告中的黑客地下論壇的服務的價格表可知。Trustawave與一些其他的安全專家都認為這個漏洞價格過高,並不能直接用來感染電腦,只可以升級權限,只是具有高級持續性威脅(APT)的潛力,但最終仍然會有人買。

Trustawave 説,在所有漏洞中,價值最大的漏洞是遠程執行代碼(RCE)漏洞,本地權限提升漏洞次之。雖然這個漏洞不能提供向遠程執行代碼那樣的感染攻擊,但它仍然是這個感染過程中一個非常重要的媒介。

據了解,微軟是第一家成立漏洞賞金項目的公司,雖然市場上存在有針對其操作系統的大量的惡意軟件,但微軟在安全領域仍有很高的地位。針對此次黑市中的令日漏洞,微軟還未做出相關回應,但許多安全公司都評價微軟為目前市場上對產品產權性做的最好的公司。

目前為止,該漏洞還尚未售出,大家可以先不用緊張,如果有升級更新補丁,儘快更新安裝就好。



資料來源:雷鋒網
作者/編輯:張丹

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→