一位名叫“BuggiCorp”的黑客近日在暗网黑市上兜售一种新的零日漏洞,号称可以利用这个漏洞在Windows所有版本中获取到最高的系统运营权限。安全公司Trustawave发现,这个漏洞首次出现在俄罗斯的一个暗网黑客论坛上是在五月初,当时售价9.5万美元(折合成人民币约62万),一周前这个帖子再次被更新,价格并将价格改为9万美元(折合成人民币约59万)。
据了解,零日漏洞的生意较黑市上售卖的其他产品来说难做一些,因为这其中需要一定的信任才能完成交易,通常通过个人的人脉进行销售,因此,Trustawave对这个在黑客论坛上公开销售的零日漏洞有些惊讶。
在“BuggiCorp”发布的售卖信息中,为了证明这个漏洞的价值,他还专门贴出了两个关于这个零日漏洞的演示视频。一个视频中,黑客用这个漏洞在一个安装更新了5月发布的最新补丁的Window 10操作上,成功获得了最高操作权限;另一个视频中他用漏洞分析成功地绕过了微软所有的安全防御功能,包括最新版本的EMET 工具包。
EMET工具包的全称为Enhanced Mitigation Experience Toolkit,是微软提供一种用以减少软件漏洞被利用的安全软件,其主要防御对象就是零日漏洞。
除了视频,“BuggiCorp”还在帖子中列出了一些详细技术资料。从这些技术资料中可以得知,从Windows2000开始起,这个漏洞就存在于所有系统版本当中,主是由于不正确的处理窗口对象时而生成的,且十分具有成为高级持续性威胁(APT)的潜力。
这个漏洞的源代码与样本都用C语言写入了微软的VC运行库2005,其输出是一个“库(lib)”文件,可以连接到系统的其他代码。它能够从沙盒中逃逸,在ring0上安装漏洞利用包,绕过了ASLR(地址空间布局随机化)、DEP(数据执行保护)、SMEP(管理模式执行保护)等防护设置,篡改系统属性以获得持续感染能力,并能够在仅有管理员才能安装新程序的设备上,下载并安装更多的恶意软件。
“BuggiCorp”称,因为此漏洞对Windows系统所有版本都有效,有可能会影响到全球范围内的15亿用户。
他还表示表示,希望用比特币进行支付,如果有必要的话,可以通过论坛管理员来完成交易。并且,他只会将这个漏洞卖给一位卖家,这位卖家会得到这个漏洞的源代码、功能完整的小样、微软完整开发工具集(Microsoft Visual Studio)2005,以及这个漏洞未来在任何Windows版本上无法运行时的更新。
通过著名政府软件开发供应商Zerodium往日的价格表,与一份戴尔报告中的黑客地下论坛的服务的价格表可知。Trustawave与一些其他的安全专家都认为这个漏洞价格过高,并不能直接用来感染电脑,只可以升级权限,只是具有高级持续性威胁(APT)的潜力,但最终仍然会有人买。
Trustawave 说,在所有漏洞中,价值最大的漏洞是远程执行代码(RCE)漏洞,本地权限提升漏洞次之。虽然这个漏洞不能提供向远程执行代码那样的感染攻击,但它仍然是这个感染过程中一个非常重要的媒介。
据了解,微软是第一家成立漏洞赏金项目的公司,虽然市场上存在有针对其操作系统的大量的恶意软件,但微软在安全领域仍有很高的地位。针对此次黑市中的令日漏洞,微软还未做出相关回应,但许多安全公司都评价微软为目前市场上对产品产权性做的最好的公司。
目前为止,该漏洞还尚未售出,大家可以先不用紧张,如果有升级更新补丁,尽快更新安装就好。