安全公司 Trustwave SpiderLabs 剛剛發現了一個零日Windows漏洞，它已經在某俄語地下黑市論壇上公開銷售。盡管研究人員無法完全肯定該漏洞利用方法的真實性，但他們懷疑并認為該漏洞利用最終將落入網絡罪犯手中。

零日漏洞經常被轉手。犯罪團伙購買他們來實現自己想完成的目標，中間商購買它們來加價銷售，監控技術企業購買他們來應用在自己的產品上。但零日漏洞的生意很難做，因為在這種犯罪行為里需要一定的信任才能完成交易。去年HackingTeam數據泄露事件之后，經過對泄露的電子郵件進行分析，專家已經發現了一些問題。Vlad Tsyrklevch進行的一項分析展現了作為買家的HackingTeam與作為中間商的著名公司Vupen之間一定程度上的不信任關系，盡管后者在自己的圈子里廣受信賴。

因此，銷售零日漏洞通常與一些擁有人脈的個人有關。因此Trustwave在地下黑市上發現公開銷售的所謂零日漏洞之后有點驚訝。相關的這一論壇通常被當做合作平臺，SpdierLabs在今天發布的一份新博客中稱：“人們可以在上面雇傭惡意軟件作者，發布漏洞利用包，或者購買Web Shell來入侵網站，甚至租用整個僵尸網絡，進行任意活動。不過，零日漏洞和這些常見的商品不一樣，因此看上去有些另類。”

這一零日漏洞被賣家描述為本地提權漏洞 (Local Privilege Escalation, LPE) ，可以在從XP到Windows10的所有現行Windows操作系統上使用。該漏洞的起拍價是95000美金。SpiderLabs澄清說，該零日漏洞未必是真實的，不過“這次銷售行為可能賣的是有效的零日漏洞，而且賣家開出的價格可能會提起網絡罪犯們的興趣。”

能夠佐證其真實性的理由之一是賣家宣傳自家商品的方式。比如，他展示了大量的額外信息，告訴買家在購買之后可以用它來做什么，其中顯示了自己對市場很深入的了解。此外他要求支付以比特幣渠道進行，而且交易應該經過論壇管理員。

最初的銷售信息是在5月11日出現的。該信息在5月23日得到一次更新，將售價降低至9萬美金，并保證它將被獨家銷售給買家。這些跡象表明兩種可能性，其一是需求沒有達到賣家的預期，其二是有些買家在要求獨家銷售。

賣家也在YouTube上提供了關于此漏洞利用的實時演示。Trustwave寫道，“值得注意的是，這一視頻實際上是在’周二補丁日’錄制的，而且賣家確保了所有最新補丁都已安裝。”

Trustwave指出，本地提權類的零日漏洞的價值應當僅次于遠程執行漏洞 (RCE) 。盡管本地提權漏洞不能像遠程執行漏洞那樣提供初始的攻擊向量，它在整個入侵流程中仍舊扮演了相當重要的位置。此外，本地提權漏洞提供了在目標設備上維持感染的可能性，這對于高級持續性威脅 (APT) 而言是一個關鍵方面。

這一特定漏洞似乎擁有成為APT的潛力。賣家表示，它能夠從沙盒中逃逸，在ring0上安裝漏洞利用包，篡改系統屬性以獲得持續感染能力，并能夠在僅有管理員才能安裝新程序的設備上下載并安裝更多的惡意軟件。

如果漏洞真像賣家描述得那么好，并且被買下，在針對性攻擊中小范圍地使用，將成為一個新的嚴重威脅。在它從論壇上消失之后，研究人員將很容易跟丟它。Trustwave公司安全研究副總裁Ziv Mador對媒體表示：“在賣家發出的第二個帖子中，他提到這一零日漏洞可以獨家銷售。因此，如果帖子被移除，將意味著這一漏洞已經賣出去了。”但Ziv并不清楚我們是否真的能夠在未來發現網絡罪犯使用它的跡象，或者是政府支持的黑客小組是否會使用它。