Atores de ameaças ligados ao ransomware Black Basta podem ter explorado uma falha de elevação de privilégio recentemente divulgada no Microsoft Windows Error Reporting Service como um zero-day, segundo novas descobertas da Symantec. A falha de segurança em questão é a CVE-2024-26169 (pontuação CVSS: 7.8), um bug de elevação de privilégio no Windows Error Reporting Service que poderia ser explorado para obter privilégios de SYSTEM. Ela foi corrigida pela Microsoft em março de 2024.

A análise de uma ferramenta de exploração implantada em ataques recentes revelou evidências de que poderia ter sido compilada antes da correção, o que significa que pelo menos um grupo pode ter explorado a vulnerabilidade como um zero day. O cluster de ameaças com motivação financeira está sendo rastreado pela empresa sob o nome Cardinal, também conhecido como Storm-1811 e UNC4393. Ele é conhecido por monetizar o acesso implantando o ransomware Black Basta, geralmente aproveitando o acesso inicial obtido por outros atacantes para invadir ambientes corporativos.

Nos últimos meses, o ator da ameaça foi observado usando produtos legítimos da Microsoft, como Quick Assist e Microsoft Teams, como vetores de ataque para infectar usuários. Essa abordagem ressalta a crescente sofisticação e adaptabilidade dos atores de ameaças, que aproveitam ferramentas e plataformas amplamente confiáveis para lançar ataques de alto impacto. A detecção precoce e a resposta proativa são essenciais para mitigar o risco de tais ataques e proteger os sistemas contra explorações futuras.