En ny Microsoft Windows zero-day sårbarhed kendt som ALPC LPE er blevet udnyttet i naturen. Den farlige faktum er, at hacking angreb skete kort efter oplysningerne blev offentliggjort online. Brugere fra hele verden er ramt.
Powerpool Hackere står bag Windows Zero-dages Sårbarhed
Detaljer om Windows LPE zero-day sårbarhed blev oprindeligt lagt ud på August 27 2018 på GitHub og populariseret via en Twitter stilling, som senere blev slettet. Stadig detaljer om sin tilstedeværelse gjort sin vej til hackere, som der er rapporter om angreb gearing det.
Sårbarheden i sig selv er en fejl i Windows-operativsystemet selv slagfrie versioner fra Windows 7 Windows 10 afhængigt af Advanced Local Procedure Call (ALPC) funktion, resultatet af en Lokal rettighedsforøgelse (LPE). Denne effektivt tillader skadelig kode for at få administratorrettigheder og ændre systemet som programmeret. Den oprindelige tweet knyttet til en GitHub repository indeholder Proof-of-Concept kode. Dette gør det muligt effektivt at computerbrugere til at downloade kodeeksempler og bruge det som de vil - i sin oprindelige form, modificeret eller indlejret i en nyttelast.
En sikkerhedsmeddelelse er blevet tildelt til sårbarheden - CVE-2018-8440. Dens beskrivelse er følgende:
En udvidelse af rettigheder sårbarhed, når Windows forkert håndterer opkald til Avanceret Local Procedure Call (ALPC).
En hacker, som det lykkes at udnytte denne sårbarhed, kan køre arbitrær kode i sikkerhed rammerne af det lokale system. En hacker kunne derefter installere programmer; visning, lave om, eller slette data; eller oprette nye konti med komplette brugerrettigheder.
At udnytte denne sårbarhed, en hacker ville først nødt til at logge på systemet. En hacker kan derefter køre et særligt udformet program, der kunne udnytte sårbarheden og tage kontrol over et berørt system.
De PowerPool hackere, en hidtil ukendt hacking kollektive, har vist sig at orkestrere et angreb kampagne. Indtil videre en relativt mindre gruppe er blevet påvirket, Men placeringen af de inficerede maskiner udstillingsvindue, at kampagnerne er globale. Positive infektioner dæmme lande som følgende: Chile, Tyskland, Indien, Filippinerne, Polen, Rusland, Det Forenede Kongerige, USA og Ukraine.
Tilstanden af operationer ligger i misbrug af en API-funktion, der kontrollerer ikke brugernes rettigheder i den foreskrevne sag. Dette har gjort det muligt PowerPool hackere at misbruge Windows-operativsystemet ved at skrive tilladelser til Opgaver folder. Som et resultat af denne aktion brugere med read only tilladelser kan erstatte skrive-beskyttede filer. En lokal rettighedsforøgelse derefter gjort, som kan bidrage til at skabe en skadelig fil til den inficerede vært.
Sikkerheden analyse har vist, at så langt den vigtigste mål for Windows zero-day sårbarhed synes at være den Google Update tjeneste - de legitime applikationer, der udfører de autonome versionsopdatering kontrol, som er ofte under administratorrettigheder automatisk af en foruddefineret Microsoft Windows Task. Denne opsætning fil overskrives med et andet trin malware, der derefter startes.
Driftsform af Windows-Zero-dages Sårbarhed
De PowerPool hackere har udtænkt en specialist malware, der leveres til de inficerede værter. Adresserne er hardcodede, dette signalerer, at dette er en første version. Opdaterede versioner kan programmeres ind automatisk påsætning til en foruddefineret server, som kan vil signalere passende hacker-kontrollerede vært. En sikker forbindelse er etableret med det gør det muligt for operatørerne at lancere forskellige kommandoer. De understøttede dem er følgende: kommandoudførelse, proces aflivning, upload / download-, mappelisten.
Den vedholdende installation har vist sig at indlede flere moduler gør det muligt for kriminelle at kapre andre maskiner på samme netværk:
- PowerDump - Dette er en Metasploit modul, der bruges til at erhverve kontooplysninger fra Windows Security Account Manager for.
- PowerSploit - Dette er en anden Metasploit modul, som gør det muligt for hackere at tilpasse deres post-udnyttelse konsekvenser.
- SMBExec - Dette en PowerShell-baseret værktøj, der behandler SMB (Samba) netværk aktier.
- quarks PwDump - Et værktøj, der kaprer de gemte Microsoft Windows-legitimationsoplysninger.
- FireMaster - Dette er en anden hacking modul, der kan bruges til at gendanne legitimationsoplysninger fra bruger-installerede applikationer såsom webbrowsere, e-mail-klienter, instant messaging apps og etc.
Opdatering! Microsoft udgivet en sikkerhedsopdatering fastsættelse dette problem, opdatere dine systemer så hurtigt som muligt til den nyeste tilgængelige version!
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: