2. Hírek
  3. Biztonság

Publikus fórumon vásárolhat Zero Day sebezhetőséget

Akinek van 90 ezer dollárja, költheti a minimum 20 Windows változatot érintő sérülékenység forráskódjára, dokumentációjára és konzultációra.

Mihez kezdene egy olyan sebezhetőséggel felvértezve, ami a Windows 2000-től a legfrissebb Windows 10-ig minimum 20 változaton kihasználható, a szerverekre szánt rendszereket is beleértve? Akár 1,5 milliárd eszközt lenne képes megfertőzni, mindezért csak kilencvenezer dollárt kér egy hacker. Eredetileg 95 ezret akart, de mivel közel két hét alatt sem talált vevőt, ezért leakciózta a csomagot.

A Trustwave fedezte fel a hirdetést egy orosz fórumon, amiben két videóval igazolja az eladó, hogy a kódja működik. A Zero-Day sebezhetőségek árával kapcsolatban viszonylag kevés információval rendelkeznek a szakértők is, hiszen ezeket jellemzően közvetítőkön keresztül, az avatatlan szemek elől rejtve szokás értékesíteni.

Az orosz nyelvű fórum együttműködési platformot biztosít számos illegális tevékenység megszervezéséhez. A teljesség igénye nélkül: találhatunk felbérelhető malware programozókat, exploit csomagokat, vagy kölcsönözhetünk komplett botnet hálózatot is. Még egy ilyen felületen is szokatlan az effajta hirdetés, a Trustwave szerint a nyilvános ajánlat nem sok jót jelent a jövőre nézve.

A hiba a helyben kihasználható sérülékenység (local privilege excalation, LPE) a hirdető BuggyCorp leírása alapján a win32k.sys-ben található, az a hibás objektumkezeléssel hozható összefüggésbe. Az mindegy, hogy x86 vagy x64, a legutóbbi patch keddet követően is padlóra küldte a rendszereket. Működését nem gátolja a sandbox mód sem, gond nélkül megszökik, bármely memóriaterületre írási jogot biztosítva (a felhasználói jogosultság kernelre cserélhető vele), majd a kapcsolt kódnak is memóriát biztosítva.

A vásárló a teljes forrást megkapja, beleértve a sebezhetőséget bemutató demót, illetve magát a támadáshoz szükséges kódot, illetve ingyenes frissítési opciót azokra az esetekre, ha valamiért bizonyos buildeken mégsem működne. Ezen felül jár a részletes dokumentáció, illetve akár konzultáció is, igény szerint pedig konkrét, úgynevezett kulcsrakész megoldást is lehet kérni. BuggyCorp arra hívja fel a figyelmet, hogy csak egyetlen vásárlónak adja át az adatokat, melyeket egy távolról futtatható kóddal (RCE) kiegészítve félelmetes eszközt ad a partnere kezébe. Fizetni előre és alku nélkül kell, a sikerdíjas osztozkodás nem érdekli.

A Trustwave azt javasolja, a teljes biztonsági infrastruktúrát tartsuk naprakészen, és bár valószínűleg az LPE ellen nem védenek majd a különböző szolgáltatások sem, de az RCE oldaláról jó eséllyel kivédhető a támadás. A Microsoftot is értesítették a jelenségről, a felhasználókat pedig biztatják, ne nyissanak meg semmilyen gyanús mellékletet, ha nem muszáj.

Azóta történt

Előzmények