安全公司 Trustwave SpiderLabs 剛剛發(fā)現(xiàn)了一個(gè)零日Windows漏洞,它已經(jīng)在某俄語(yǔ)地下黑市論壇上公開銷售。盡管研究人員無(wú)法完全肯定該漏洞利用方法的真實(shí)性,但他們懷疑并認(rèn)為該漏洞利用最終將落入網(wǎng)絡(luò)罪犯手中。
零日漏洞經(jīng)常被轉(zhuǎn)手。犯罪團(tuán)伙購(gòu)買他們來(lái)實(shí)現(xiàn)自己想完成的目標(biāo),中間商購(gòu)買它們來(lái)加價(jià)銷售,監(jiān)控技術(shù)企業(yè)購(gòu)買他們來(lái)應(yīng)用在自己的產(chǎn)品上。但零日漏洞的生意很難做,因?yàn)樵谶@種犯罪行為里需要一定的信任才能完成交易。去年HackingTeam數(shù)據(jù)泄露事件之后,經(jīng)過(guò)對(duì)泄露的電子郵件進(jìn)行分析,專家已經(jīng)發(fā)現(xiàn)了一些問題。Vlad Tsyrklevch進(jìn)行的一項(xiàng)分析展現(xiàn)了作為買家的HackingTeam與作為中間商的著名公司Vupen之間一定程度上的不信任關(guān)系,盡管后者在自己的圈子里廣受信賴。
因此,銷售零日漏洞通常與一些擁有人脈的個(gè)人有關(guān)。因此Trustwave在地下黑市上發(fā)現(xiàn)公開銷售的所謂零日漏洞之后有點(diǎn)驚訝。相關(guān)的這一論壇通常被當(dāng)做合作平臺(tái),SpdierLabs在今天發(fā)布的一份新博客中稱:“人們可以在上面雇傭惡意軟件作者,發(fā)布漏洞利用包,或者購(gòu)買Web Shell來(lái)入侵網(wǎng)站,甚至租用整個(gè)僵尸網(wǎng)絡(luò),進(jìn)行任意活動(dòng)。不過(guò),零日漏洞和這些常見的商品不一樣,因此看上去有些另類?!?/span>
這一零日漏洞被賣家描述為本地提權(quán)漏洞 (Local Privilege Escalation, LPE) ,可以在從XP到Windows10的所有現(xiàn)行Windows操作系統(tǒng)上使用。該漏洞的起拍價(jià)是95000美金。SpiderLabs澄清說(shuō),該零日漏洞未必是真實(shí)的,不過(guò)“這次銷售行為可能賣的是有效的零日漏洞,而且賣家開出的價(jià)格可能會(huì)提起網(wǎng)絡(luò)罪犯?jìng)兊呐d趣?!?/span>
能夠佐證其真實(shí)性的理由之一是賣家宣傳自家商品的方式。比如,他展示了大量的額外信息,告訴買家在購(gòu)買之后可以用它來(lái)做什么,其中顯示了自己對(duì)市場(chǎng)很深入的了解。此外他要求支付以比特幣渠道進(jìn)行,而且交易應(yīng)該經(jīng)過(guò)論壇管理員。
最初的銷售信息是在5月11日出現(xiàn)的。該信息在5月23日得到一次更新,將售價(jià)降低至9萬(wàn)美金,并保證它將被獨(dú)家銷售給買家。這些跡象表明兩種可能性,其一是需求沒有達(dá)到賣家的預(yù)期,其二是有些買家在要求獨(dú)家銷售。
賣家也在YouTube上提供了關(guān)于此漏洞利用的實(shí)時(shí)演示。Trustwave寫道,“值得注意的是,這一視頻實(shí)際上是在’周二補(bǔ)丁日’錄制的,而且賣家確保了所有最新補(bǔ)丁都已安裝?!?/span>
Trustwave指出,本地提權(quán)類的零日漏洞的價(jià)值應(yīng)當(dāng)僅次于遠(yuǎn)程執(zhí)行漏洞 (RCE) 。盡管本地提權(quán)漏洞不能像遠(yuǎn)程執(zhí)行漏洞那樣提供初始的攻擊向量,它在整個(gè)入侵流程中仍舊扮演了相當(dāng)重要的位置。此外,本地提權(quán)漏洞提供了在目標(biāo)設(shè)備上維持感染的可能性,這對(duì)于高級(jí)持續(xù)性威脅 (APT) 而言是一個(gè)關(guān)鍵方面。
這一特定漏洞似乎擁有成為APT的潛力。賣家表示,它能夠從沙盒中逃逸,在ring0上安裝漏洞利用包,篡改系統(tǒng)屬性以獲得持續(xù)感染能力,并能夠在僅有管理員才能安裝新程序的設(shè)備上下載并安裝更多的惡意軟件。
如果漏洞真像賣家描述得那么好,并且被買下,在針對(duì)性攻擊中小范圍地使用,將成為一個(gè)新的嚴(yán)重威脅。在它從論壇上消失之后,研究人員將很容易跟丟它。Trustwave公司安全研究副總裁Ziv Mador對(duì)媒體表示:“在賣家發(fā)出的第二個(gè)帖子中,他提到這一零日漏洞可以獨(dú)家銷售。因此,如果帖子被移除,將意味著這一漏洞已經(jīng)賣出去了?!钡玓iv并不清楚我們是否真的能夠在未來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)罪犯使用它的跡象,或者是政府支持的黑客小組是否會(huì)使用它。