Zestawienie tygodniowe 23 – 30 listopada

Zatrzymanie trzech, domniemanych „Nigeryjskich książąt”

Trzech obywateli Nigerii zostało aresztowanych w Lagos. Są podejrzewani o udział w oszustwach typu Business Email Compromise (BEC). Uważa się, że ta trójka jest częścią większej zorganizowanej grupy przestępczej zwanej TMT, która jest zaangażowana w dystrybucję złośliwego oprogramowania, phishing i szeroko zakrojone oszustwa BEC.

Według Interpolu, ta trójka prawdopodobnie obsługiwała odsyłacze phishingowe, domeny i kampanie masowej wysyłki. Podejrzani wykorzystali kampanie do dostarczenia 26 rodzin złośliwego oprogramowania, w tym oprogramowania szpiegującego i narzędzi zdalnego dostępu. Niektóre ze szkodliwych programów wykorzystywanych przez grupę to AgentTesla, Azorult, Loki, nanocore RAT, Spartan i Remcos RAT.

Uważa się, że od 2017 roku grupa TMT atakowała przedsiębiorstwa rządowe i prywatne w ponad 150 krajach. Dane pozyskane z urządzeń należących do trzech aresztowanych członków pomogły zidentyfikować około 50 000 ofiar. Aresztowania to wynik operacji Falcon, trwającego rok śledztwa prowadzonego przez Interpol i firmę ochroniarską Group-IB z siedzibą w Singapurze, przy pomocy nigeryjskiej policji.

Nieoficjalna łatka na Windowsa 7

Nieoficjalna łatka jest teraz dostępna za pośrednictwem usługi 0patch ACROS Security, która usuwa lukę zero-day zidentyfikowaną na początku tego miesiąca w systemach Windows 7 i Windows Server 2008 R2. Wada eskalacji uprawnień, szczegółowo opisana przez badacza bezpieczeństwa Clémenta Labro 12 listopada, istnieje, ponieważ wszyscy użytkownicy mają uprawnienia do zapisu dwóch kluczy, których można użyć do wykonanie kodu.

W szczególności badacz odkrył, że lokalny użytkownik niebędący administratorem może wskazać dowolny z dwóch kluczy w celu utworzenia podklucza wydajności, a następnie uruchomić monitorowanie wydajności w celu załadowania biblioteki DLL atakującego za pośrednictwem procesu WmiPrvSE.exe systemu lokalnego i wykonania z niej kodu.

Podklucz Performance określa nazwę biblioteki DLL sterownika i określają funkcje w tej bibliotece DLL. Ponieważ użytkownik może dodawać wpisy wartości do podklucza, użytkownik lokalny może nadużywać problemu, aby wykonać kod z uprawnieniami SYSTEM. Badacz, który stworzył kod proof-of-concept, twierdzi, że wpływ tej luki jest niewielki, biorąc pod uwagę wymagany dostęp lokalny, nie wspominając o tym, że dotyczy to tylko starszych, nieobsługiwanych już wersji systemu Windows.

Zarówno system Windows 7, jak i Windows Server 2008 R2 osiągnęły koniec wsparcia technicznego w styczniu 2020r i są obecnie w okresie rozszerzonych aktualizacji zabezpieczeń (ESU), ale nie będą już otrzymywać poprawek zabezpieczeń po styczniu 2023 r.

ACROS Security obiecał jednak poprawki dla tych iteracji platform nawet po tym, jak Microsoft przestanie zapewniać dla nich wsparcie, a nawet dla systemów, które nie są zarejestrowane w programie ESU. W ramach usługi 0patch firma z siedzibą w Słowenii udostępniła nieoficjalną, bezpłatny mikropatch dla nowo ujawnionego „dnia zerowego”, aby wyeliminować użycie tego konkretnego klucza Performance, zapobiegając w ten sposób jego nadużyciom.