Хакеры утверждают, что обнаружили уязвимость нулевого дня, открывающую возможность для получения прав администратора на любой Windows, от версии 2000 до полностью пропатченной «десятки». Эксплойт уже предлагается к продаже на черном рынке, за него просят $90 тыс.

ИБ-эксперты отметили, что этот продукт не похож на фальшивку и умелые хакеры быстро найдут ему эффективное применение. «Кибергруппы будут охотно его использовать для доставки вымогателей и иных зловредов, комбинируя с другими эксплойтами для повышения отдачи, — заявил журналистам Threatpost Зив Мадор (Ziv Mador), вице-президент Trustwave по ИБ-исследованиям. — Новый эксплойт также должны оценить инициаторы APT-атак, спонсируемых на государственном уровне: он имеет все шансы стать ключевым инструментом при сложных проникновениях в сети».

Комментируя находку, представитель Trustwave подчеркнул, что без покупки эксплойта невозможно быть абсолютно уверенным в его работоспособности. Тем не менее в пользу этого заключения говорят несколько факторов, в частности возможность независимой проверки до оплаты данного товара. Кроме того, представленный к продаже пакет включает два деморолика, показывающие эксплойт в действии: успешный обход EMET-защиты новейшей версии Windows и повышение привилегий процесса cmd.exe до уровня SYSTEM на полностью пропатченной Windows 10.

В предложении о продаже новый продукт описан как «эксплойт локального повышения привилегий (LPE) для 0-day-уязвимости в win32k.sys; данная уязвимость вызвана некорректностью обработки объектов Windows с определенными свойствами и присутствует во всех ОС [версиях], начиная с Windows 2000».

Этот лот Trustwave обнаружила 11 мая на подпольном сайте exploit[точка]in. Его выставил продавец, использующий ник BuggiCorp, который ищет эксклюзивного покупателя. Вначале BuggiCorp просил за эксплойт $95 тыс., затем цена была снижена до $90 тыс. «Для этого типа функциональности цена $95 тыс. вполне разумна, — комментирует Логан Браун (Logan Brown), президент компании Exodus Intelligence, специализирующейся в числе прочего на покупке уязвимостей. — Такие эксплойты довольно редки и требуют определенной квалификации от разработчика, поэтому они представляют ценность и для атакующих, и для защитников».

На запрос Threatpost о комментарии Microsoft никак не отреагировала, но публично признала наличие предложения о продаже 0-day, подчеркнув при этом, что подтвердить его аутентичность она не в состоянии. В своем заявлении KrebsOnSecurity.com Джефф Джонс (Jeff Jones), специалист Microsoft по ИБ-стратегии, отметил, что в рамках своей Bug Bounty компания готова выплатить $50–100 тыс. за эксплойт, способный обойти защитные механизмы EMET (такой, как, собственно, предлагает BuggiCorp).

Согласно блог-записи Trustwave SpiderLabs, выставленный на продажу эксплойт в паре с RCE-собратом позволяет выйти за пределы приложения, использующего песочницу (Google Chrome, Adobe Reader и т.п.), и получить полный контроль над системой. Новый LTE-зловред также открывает возможность для установки руткита, расширения прав на веб-сервере; его можно использовать для установки дополнительных зловредов, а на PoS-системах — для кражи данных платежных карт.

Категории: Главное, Уязвимости