安全公司Trustwave SpiderLabs刚刚发现了一个零日Windows漏洞，它已经在某俄语地下黑市论坛上公开销售。尽管研究人员无法完全肯定该漏洞利用方法的真实性，但他们怀疑并认为该漏洞利用最终将落入网络罪犯手中。

零日漏洞经常被转手。犯罪团伙购买他们来实现自己想完成的目标，中间商购买它们来加价销售，监控技术企业购买他们来应用在自己的产品上。但零日漏洞的生意很难做，因为在这种犯罪行为里需要一定的信任才能完成交易。去年HackingTeam数据泄露事件之后，经过对泄露的电子邮件进行分析，专家已经发现了一些问题。Vlad Tsyrklevch进行的一项分析展现了作为买家的HackingTeam与作为中间商的著名公司Vupen之间一定程度上的不信任关系，尽管后者在自己的圈子里广受信赖。

因此，销售零日漏洞通常与一些拥有人脉的个人有关。因此Trustwave在地下黑市上发现公开销售的所谓零日漏洞之后有点惊讶。相关的这一论坛通常被当做合作平台，SpdierLabs在今天发布的一份新博客中称：“人们可以在上面雇佣恶意软件作者，发布漏洞利用包，或者购买Web Shell来入侵网站，甚至租用整个僵尸网络，进行任意活动。不过，零日漏洞和这些常见的商品不一样，因此看上去有些另类。”

这一零日漏洞被卖家描述为本地提权漏洞(Local Privilege Escalation,LPE)，可以在从XP到Windows10的所有现行Windows操作系统上使用。该漏洞的起拍价是95000美金。SpiderLabs澄清说，该零日漏洞未必是真实的，不过“这次销售行为可能卖的是有效的零日漏洞，而且卖家开出的价格可能会提起网络罪犯们的兴趣。”

能够佐证其真实性的理由之一是卖家宣传自家商品的方式。比如，他展示了大量的额外信息，告诉买家在购买之后可以用它来做什么，其中显示了自己对市场很深入的了解。此外他要求支付以比特币渠道进行，而且交易应该经过论坛管理员。

最初的销售信息是在5月11日出现的。该信息在5月23日得到一次更新，将售价降低至9万美金，并保证它将被独家销售给买家。这些迹象表明两种可能性，其一是需求没有达到卖家的预期，其二是有些买家在要求独家销售。

卖家也在YouTube上提供了关于此漏洞利用的实时演示。Trustwave写道，“值得注意的是，这一视频实际上是在’周二补丁日’录制的，而且卖家确保了所有最新补丁都已安装。”

Trustwave指出，本地提权类的零日漏洞的价值应当仅次于远程执行漏洞(RCE)。尽管本地提权漏洞不能像远程执行漏洞那样提供初始的攻击向量，它在整个入侵流程中仍旧扮演了相当重要的位置。此外，本地提权漏洞提供了在目标设备上维持感染的可能性，这对于高级持续性威胁(APT)而言是一个关键方面。

这一特定漏洞似乎拥有成为APT的潜力。卖家表示，它能够从沙盒中逃逸，在ring0上安装漏洞利用包，篡改系统属性以获得持续感染能力，并能够在仅有管理员才能安装新程序的设备上下载并安装更多的恶意软件。

如果漏洞真像卖家描述得那么好，并且被买下，在针对性攻击中小范围地使用，将成为一个新的严重威胁。在它从论坛上消失之后，研究人员将很容易跟丢它。Trustwave公司安全研究副总裁Ziv Mador对媒体表示：“在卖家发出的第二个帖子中，他提到这一零日漏洞可以独家销售。因此，如果帖子被移除，将意味着这一漏洞已经卖出去了。”但Ziv并不清楚我们是否真的能够在未来发现网络罪犯使用它的迹象，或者是政府支持的黑客小组是否会使用它。

(责任编辑：安博涛)