Eine neue Microsoft Windows Zero-Day-Schwachstelle als ALPC LPE bekannt in der freien Natur ausgebeutet. Die gefährliche Tatsache ist, dass die Hacker-Angriffe geschahen kurz nach der Information im Internet veröffentlicht wurde. Nutzer aus der ganzen Welt sind betroffen.
Power Hackers befindet sich hinter der Windows-Zero-Day-Schwachstelle
Details zu den Windows-LPE Zero-Day-Schwachstellen wurden zunächst am August veröffentlicht 27 2018 auf GitHub und über einen Twitter senden populär, die später gelöscht wurde. Noch Details über seine Präsenz an Hacker machte seinen Weg, da es Berichte über Angriffe sind es nutzen.
Die Sicherheitslücke selbst ist ein Fehler in dem Windows-Betriebssystem selbst aufprall Versionen ab Windows 7 Windows 10 je nach dem Advanced Local Procedure Call (ALPC) Funktion, das Ergebnis ist eine der Lokale Privilege Escalation (LPE). Dies ermöglicht effektiv bösartige Code Administratorrechte zu erlangen und das System ändern, wie programmiert. Der ursprüngliche Tweet zu einem Repository enthält GitHub verknüpft Proof-of-Concept-Code. Dies ermöglicht effektiv Computer-Anwender den Beispielcode zum Herunterladen und verwenden Sie es, wie sie wollen - in seiner ursprünglichen Form, modifiziert oder in einer Nutzlast eingebettet.
Ein Sicherheitshinweis wurde die Verwundbarkeit zugewiesen - CVE-2018-8440. Seine Beschreibung ist die folgende:
Eine Erhöhung von Berechtigungen Sicherheitsanfälligkeit vor, wenn Windows nicht ordnungsgemäß Anrufe Erweiterte Local Procedure Call Griffe (ALPC).
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im Sicherheitskontext des lokalen Systems ausführen. Ein Angreifer könnte dann Programme installieren; Blick, Veränderung, oder Löschen von Daten; oder neue Konten mit sämtlichen Benutzerrechten.
Um diese Sicherheitsanfälligkeit auszunutzen, Ein Angreifer müsste zunächst mit dem System anmelden. Ein Angreifer kann dann eine speziell gestaltete Anwendung ausführen, die die Sicherheitsanfälligkeit ausnutzt, und übernehmen die Kontrolle über ein betroffenes System.
Der Powerpool Hacker, ein bisher unbekanntes Hacking kollektives, wurde gefunden, einen Angriff Kampagne orchestrieren. Bisher eine relativ kleine Gruppe ist betroffen, aber die Orte der infizierten Maschinen zeigen, dass die Kampagnen global. Positive Infektionen eindämmen Länder wie die folgenden: Chile, Deutschland, Indien, die Phillipinen, Polen, Russland, Großbritannien, die Vereinigten Staaten und der Ukraine.
Die Art der Operationen liegt in dem Missbrauch einer API-Funktion, die nicht die Benutzerberechtigungen in der vorgeschriebenen Angelegenheit überprüft. Dies hat den Powerpool Hacker erlaubt das Windows-Betriebssystem zu missbrauchen, indem Berechtigungen für das Schreiben Aufgaben Mappe. Als Ergebnis dieser Aktion Benutzer mit nur lesen Berechtigungen können schreibgeschützte Dateien ersetzen. Eine lokale Privilegieneskalation wird dann durchgeführt, die eine schädliche Dateien auf den infizierten Wirt liefern kann helfen.
Die Sicherheitsanalyse hat ergeben, dass bisher das Hauptziel der Windows-Zero-Day-Schwachstelle scheint die zu sein, Google Update Service - die legitimen Anwendungen, die die autonome Version Update-Prüfungen durchführt, die oft unter Administratorrechten ist automatisch von einem vordefinierten Microsoft Windows Task. Diese Setup-Datei ist mit einer zweiten Stufe Malware überschreibt, die dann gestartet.
Mode of Operations der Windows-Zero-Day-Schwachstelle
Die Powerpool-Hacker haben einen Spezialisten Malware entwickelt, die auf den infizierten Rechner ausgeliefert. Die Adressen sind fest einprogrammiert, Dies signalisiert, dass es sich um eine erste Version. Aktualisierten Versionen können auf einen vordefinierten Server in automatischen Anschließen programmiert werden, die den geeigneten Hacker gesteuerten Host signalisieren können. Eine sichere Verbindung hergestellt wird damit ermöglicht den Betreibern verschiedene Befehle zu starten. Die unterstützten diejenigen sind die folgenden: Befehlsausführung, Prozess Tötung, Datei-Upload / Download, Ordnerliste.
Die anhaltende Installation wird gefunden, so dass die Kriminellen mehrere Module initiieren andere Maschinen auf dem gleiche Netzwerk kapern:
- PowerDump - Dies ist ein Metasploit-Modul, das verwendet wird, Kontoinformationen aus dem Windows Security Account Manager zu erwerben.
- PowerSploit - Dies ist ein weiteres Metasploit-Modul, das der Hacker ermöglicht, ihre Post-Ausbeutung Konsequenzen anpassen.
- SMBExec - Dies ist ein Powershell-basiertes Tool, das SMB-Prozesse (Samba) Netzwerkfreigaben.
- Quarks PWDump - Ein Dienstprogramm, das die gespeicherten Microsoft Windows-Anmeldeinformationen hijacks.
- Firemaster - Dies ist ein weiteres Hacking-Modul, das verwendet werden kann, Anmeldeinformationen von Benutzern installierten Anwendungen wie Web-Browser wiederherstellen, E-Mail-Clients, Instant-Messaging-Anwendungen und usw..
Update! Microsoft veröffentlicht ein Sicherheitsupdate Um dieses Problem Festsetzung, Aktualisieren Sie Ihre Systeme so schnell wie möglich auf die neueste verfügbare Version!
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: