当前位置:首页 > 信息动态 > 正文

针对Windows 7零日发布的概念验证代码

微软在本周二修补了两个Windows零日漏洞,这是其定期的Patch Tuesday安全更新批处理的一部分,有关这些漏洞的更多细节已经浮出水面。

概念验证(PoC)代码也已经发布了,这使零日活动对甚至更多的网络犯罪分子也具有吸引力。

现在可用于第一个WINDOWS零日的POC

PoC是由中国网络安全厂商奇虎360 Core今天发布的。PoC适用于Google在2月底发现的Windows 7零日(CVE-2019-0808)。

谷歌的安全团队表示,零时差是Windows 7和Chrome 零时差组合的一部分,该组合在野外被滥用。

Google两周前修补了Chrome零日(CVE-2019-5786),微软本周修补了Windows 7零日(CVE-2019-0808)。

微软表示,零日漏洞影响了Windows 7和Windows Server 2008操作系统中的Win32k组件,从而使攻击者能够以管理员权限运行代码。

在今天发布的一份报告中,奇虎360研究人员打破了Windows 7零日漏洞利用链,并提供了一些示例,这些示例可以组合成一个可用的漏洞。

这家中国公司还透露,该零日攻击曾被用于 APT攻击,APT代表高级持续威胁,这是一种用于描述民族国家网络间谍组织的网络安全技术术语。

第二WINDOWS零时差也滥用APT攻击

俄罗斯网络安全公司卡巴斯基实验室昨天发布的一篇博客文章称,微软周二修补的另一个零日漏洞也被滥用以进行APT攻击。

零日(CVE-2019-0797)与影响Windows 7的零日几乎相同,但还具有在所有Windows OS版本上工作的额外好处。就像Google发现的Windows零时区一样,这也影响了Win32k组件,并且也提高了特权,使攻击者可以使用管理员权限运行代码。

卡巴斯基说,这个零日活动不是被一个而是两个APT小组滥用的,即FruityArmor和SandCat。

这是卡巴斯基发现的第四个Windows零日漏洞,被FruityArmor APT滥用。该小组似乎是寻找Windows特权提升新漏洞的专家。

他们先前滥用了CVE-2018-8453(Windows零日补丁程序,于2018年10月修补程序),CVE-2018-8589(2018年11月补丁程序)和CVE-2018-8611(于2018年12月补丁程序)。

SanndCat也滥用了11月的零日(CVE-2018-8589),这是APT现场的一个新小组,卡巴斯基对此一无所知,例如使用3月(CVE-2019-0797)和11月( CVE-2018-8589)零日漏洞,CHAINSHOT漏洞以及FinFisher / FinSpy黑客框架。

所有这些告诉专家的是,这两个APT之间至少存在某种类型的连接-FruityArmor和SandCat。他们要么由同一情报服务管理,要么从同一漏洞利用供应商那里购买Windows的零时差产品。