資安業者近日揭露,有名駭客上個月在俄國的網路犯罪論壇兜售一個號稱可適用於所有Windows版本的零時差安全漏洞,叫價9萬美元。

根據Trustwave旗下安全服務暨研究部門SpiderLabs所張貼的交易內容,此一零時差安全漏洞屬於本機權限擴張(Local Privilege Escalation,LPE)漏洞,它位於win32k.sys,源自於不正確地處理具備特定屬性的Windows物件,從Windows 2000、Windows XP到最新版的Windows 10都受到影響,不論是32位元或64位元的版本皆淪陷。

SpiderLabs指出,雖然最令人垂涎的漏洞仍舊是遠端程式攻擊,但本機權限擴張很可能就是第二名,它通常被用來進行初步的感染,並搭配諸如遠端程式攻擊或先進持續威脅等惡意程式,危害程度不容小覷。

賣家張貼了兩段實際執行攻擊的影片,影片錄製日期就是微軟今年5月進行例行性修補的當天(5/10),以證明相關攻擊程式即使剛修補好的Windows 10都難逃一劫。

SpiderLabs觀察,網路犯罪這個行業已從以往多半是個人工作室或小型團隊演化成更大型卻分散的組織,而惡意程式活動也逐漸進展成惡意軟體即服務(malware-as-a-service),駭客不必再同時扮演自開發惡意程式到銷售外洩資料的多重角色,他們只要發揮自己的專長,再彼此兜售所需服務即可。

研究人員Vlad Tsyrklevich去年曾發表一份有關零時差漏洞市場的研究,列出了數個專門開發或出售相關漏洞的開發人員或組織,顯示在黑市交易的漏洞價碼從1萬美元到10萬美元不等。SpiderLabs表示,該賣家已將該Windows零時差漏洞的價格從9.5萬美元降到9萬美元了。

微軟的抓漏獎勵計畫針對單一重大漏洞所提供的最高獎金也高達10萬美元,資安部落客Brian Krebs認為此一Windows零時差漏洞若為真,應可符合微軟的最高獎勵資格,然而,駭客不選擇賣給微軟,卻決定透過黑市銷售,頗令人玩味。


Advertisement

更多 iThome相關內容