Търсене
Close this search box.

CISA предупреждава за бъг в Windows, използван при атаки с рансъмуер

Американската агенция за киберсигурност и инфраструктурна сигурност (CISA) добави уязвимост на Windows с висока степен на опасност, рансъмуер атаки, като нулев ден към каталога си с активно използвани грешки в сигурността.

Проследен като CVE-2024-26169, този недостатък в сигурността се дължи на слабост в неправилното управление на привилегиите в услугата Windows Error Reporting. Успешната експлоатация позволява на локални нападатели да получат SYSTEM разрешения при атаки с ниска сложност, които не изискват взаимодействие с потребителя.

Microsoft отстрани тази уязвимост на 12 март 2024 г. по време на месечните си актуализации Patch Tuesday. Въпреки това компанията все още не е актуализирала своята консултация по сигурността, за да маркира уязвимостта като използвана при атаки.

Както се разкрива в доклад, публикуван по-рано тази седмица, изследователи по сигурността от Symantec са открили доказателства, че операторите на бандата Black Basta ransomware (киберпрестъпната група Cardinal, проследявана и като UNC4394 и Storm-1811) вероятно стоят зад атаки, злоупотребяващи с недостатъка като нулев ден.

Те откриха, че един вариант на инструмента за експлойт CVE-2024-26169, използван в тези атаки, е с времеви печат за компилация от 27 февруари, докато втори образец е бил създаден още по-рано, на 18 декември 2023 г.

Както Symantec признава в доклада си, такива времеви марки могат лесно да бъдат променени, което прави констатациите им за експлоатация на нулев ден неубедителни. Нападателите обаче нямат почти никаква мотивация да го направят, което прави този сценарий малко вероятен.

Това предполага, че групата за рансъмуер е разполагала с работещ експлойт между 14 и 85 дни преди Microsoft да пусне актуализации на сигурността, които да поправят дефекта с локалното повишаване на привилегиите.

Три седмици за защита на уязвимите системи

Федералните агенции от гражданската изпълнителна власт (FCEB) трябва да защитят системите си срещу всички уязвимости, добавени в каталога на CISA за известни експлоатирани уязвимости, съгласно задължителна оперативна директива от ноември 2021 г. (BOD 22-01).

В четвъртък CISA даде на агенциите на FCEB три седмици, до 4 юли, за да поправят  CVE-2024-26169 и да осуетят атаките с ransomware, които могат да бъдат насочени към техните мрежи.

Въпреки че директивата се отнася само за федералните агенции, Агенцията за киберсигурност също така настоятелно призова всички организации да определят като приоритет отстраняването на недостатъка, като предупреди, че „този тип уязвимости са чести вектори на атаки за злонамерени хакери и представляват значителен риск за всяко предприятие“.

Black Basta възниква като операция „Ransomware-as-a-Service“ (RaaS) преди две години, през април 2022 г., след като бандата за киберпрестъпления Conti се разделя на множество фракции след поредица от смущаващи пробиви в данните.

Оттогава бандата е нарушила сигурността на много високопоставени жертви, включително германския отбранителен изпълнител Rheinmetall, британската компания за технологичен аутсорсинг Capita, обществената библиотека в Торонто, Американската асоциация на зъболекарите, правителствения изпълнител ABB, европейското подразделение на Hyundai, Yellow Pages Canada и американския здравен гигант Ascension.

CISA и ФБР разкриха, че до май 2024 г. филиали на рансъмуера Black Basta са хакнали над 500 организации, като са криптирали системи и са откраднали данни от поне 12 сектора на критичната инфраструктура на САЩ.

Според проучване на Corvus Insurance и компанията за киберсигурност Elliptic до ноември 2023 г. Black Basta е събрал поне 100 млн. долара под формата на откупи от над 90 жертви.

 

Източник: По материали от Интернет

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...
Бъдете социални
Още по темата
24/07/2024

Юлските актуализации за сиг...

Microsoft предупреди, че след инсталирането на...
19/07/2024

Тази актуализация на Micros...

При свързване с непознати обществени Wi-Fi...
18/07/2024

Windows 11 23H2 вече е нали...

Microsoft съобщава, че актуализацията Windows 11...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!