Une nouvelle vulnérabilité Microsoft Windows zéro jour connu sous le nom LPE a été ALPC exploitée dans la nature. Le fait est dangereux que les attaques de pirates ont eu lieu peu de temps après l'information a été publiée en ligne. Les utilisateurs de partout dans le monde sont touchées.
Powerpool Les pirates informatiques Derrière la vulnérabilité jours automatique de Windows
Détails sur la vulnérabilité zéro jour de Windows LPE ont été initialement publiés sur Août 27 2018 sur GitHub et popularisé par un poste Twitter qui a ensuite été supprimé. Encore des détails sur sa présence fait son chemin aux pirates comme il y a des rapports d'attaques tirant parti de ce.
La vulnérabilité est elle-même un bogue dans le système d'exploitation Windows versions impactantes lui-même à partir de Windows 7 Windows 10 en fonction de l'avancée des appels locaux Procédure (ALPC) fonction, le résultat de l'une Privilège local Escalation (LPE). Cela permet effectivement du code malveillant d'obtenir des privilèges administratifs et modifier le système programmé. Le bip d'origine lié à un référentiel GitHub contenant un code de preuve d'Concept. Cela permet effectivement aux utilisateurs d'ordinateur pour télécharger l'exemple de code et l'utiliser comme ils aiment - dans sa forme originale, modifié ou incorporé dans une charge utile.
Un avis de sécurité a été attribué à la vulnérabilité - CVE-2018-8440. Sa description est la suivante:
Une vulnérabilité d'élévation de privilèges existe lorsque Windows ne gère pas correctement les appels à avancée des appels locaux Procédure (ALPC).
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de sécurité du système local. Un attaquant pourrait alors installer des programmes; vue, changement, ou supprimer des données; ou créer de nouveaux comptes dotés de tous les privilèges.
Pour exploiter cette vulnérabilité, un attaquant devrait d'abord de se connecter au système. Un attaquant pourrait alors exécuter une application spécialement conçue pour exploiter cette vulnérabilité et prendre le contrôle d'un système affecté.
Les pirates PowerPool, un collectif hacking auparavant inconnu, a été trouvé pour orchestrer une campagne d'attaque. Jusqu'à présent, un groupe relativement mineur a été affecté, Cependant, les emplacements des machines infectées mettent en valeur que les campagnes sont globales. Les infections positives proviennent des pays tels que les suivants: Chili, Allemagne, Inde, Les Philippines, Pologne, Russie, le Royaume-Uni, les Etats-Unis et de l'Ukraine.
Le mode de fonctionnement réside dans l'abus d'une fonction API qui ne vérifie pas les permissions des utilisateurs en la matière prescrite. Cela a permis aux pirates PowerPool d'abuser du système d'exploitation Windows en écrivant des autorisations au les tâches dossier. En raison de cet utilisateur d'action avec des autorisations en lecture seule peuvent remplacer les fichiers protégés en écriture. Une escalade de privilège local est alors fait qui peut aider à fournir un fichier malveillant à l'hôte infecté.
L'analyse de la sécurité a révélé que jusqu'à présent la cible principale de la vulnérabilité zéro jour Windows semble être le Service Google Update - les applications légitimes qui effectue les contrôles de mise à jour de la version autonome qui est souvent sous des privilèges d'administrateur automatiquement par un groupe Microsoft Windows prédéfini. Ce fichier de configuration est écrasé par un malware deuxième étape qui est ensuite commencé.
Mode de fonctionnement de la vulnérabilité jours automatique de Windows
Les pirates PowerPool ont mis au point un malware spécialiste qui est livré aux hôtes infectés. Les adresses sont codées en dur, Cela indique que ceci est une version initiale. versions mises à jour peuvent être programmées en connectant automatiquement à un serveur prédéfini qui peut signaler à l'hôte commandé par le piratage adaptés. Une connexion sécurisée est établie avec ce qui permet aux opérateurs de lancer différentes commandes. Ceux pris en charge sont les suivantes: exécution de la commande, meurtre de processus, fichier upload / download, liste des dossiers.
L'installation persistante a été trouvé pour initier plusieurs modules permettant aux criminels de pirater d'autres machines sur le même réseau:
- PowerDump - Ceci est un module Metasploit qui est utilisé pour acquérir des informations d'identification de compte à partir du compte de sécurité Windows Gestionnaire.
- PowerSploit - Ceci est un autre module Metasploit qui permet aux pirates de personnaliser leurs conséquences post-exploitation.
- SMBExec - Cet un outil PowerShell qui traite SMB (Samba) partages réseau.
- quarks pwdump - Un utilitaire qui détourne les informations d'identification Microsoft Windows stockés.
- FireMaster - Ceci est un autre module de piratage qui peut être utilisé pour restaurer les informations d'identification des applications installées par l'utilisateur tels que les navigateurs Web, clients de messagerie, des applications de messagerie instantanée et etc.
Mise à jour! Microsoft a publié une mise à jour de sécurité résolution de ce problème, mettre à jour vos systèmes le plus rapidement possible à la dernière version disponible!
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: