微软修复了Windows操作系统中的一个0day漏洞。该漏洞可用于真实攻击中可升级用户权限并帮助犯罪分子向PoS系统传播恶意软件。
火眼公司表示这次攻击活动背后的犯罪组织针对100多家北美企业发动攻击,主要集中在零售、酒店和饭店行业。
犯罪组织创建恶意软件
火眼表示发现了两个之前从未见过的恶意软件家族,即PUNCHBUGGY和PUNCHTRACK。而这两种威胁仅用于该犯罪团伙。PUNCHBUGGY是一个简单的DLL文件,但被修改后允许犯罪分子通过HTTPS从远程服务器中请求并下载文件。PUNCHTRACK是一款经典的PoS恶意软件,可删除PoS系统内存。
火眼公司表示他们在3月8日发现了针对Windows平台的新利用。该组织通过垃圾邮件传播Word文件。该Word文件会诱骗用户启用宏支持,随后会运行一个利用来以当前用户的名义实施远程代码执行。
随后他们会下载0day数据包,这就会允许攻击者将权限升级至系统管理员权限。这样攻击者就能够在受攻陷系统中安装并运行任何恶意软件。
该0day漏洞(CVE-2016-0167)将会利用win32k Windows图形子系统中的漏洞。火眼将该问题报告给了微软,后者在四月份发布了一个临时修复方案(MS16-039),随后在本月安全更新时发布了完整的修复方案(MS16-062)。