Una nuova vulnerabilità zero-day di Microsoft Windows nota come ALPC LPE è stata sfruttata in the wild. Il fatto pericoloso è che gli attacchi di hacking è accaduto subito dopo l'informazione è stato pubblicato online. Gli utenti provenienti da tutto il mondo sono colpite.
PowerPool Gli hacker sono dietro il giorno Zero vulnerabilità di Windows
Dettagli sul Windows LPE vulnerabilità zero-day sono stati inizialmente pubblicati agosto 27 2018 su GitHub e diffuso tramite un post su Twitter che è stato successivamente eliminato. dettagli circa la sua presenza ancora fatto il suo modo per gli hacker in quanto vi sono notizie di attacchi sfruttando esso.
La vulnerabilità in sé è un bug nel sistema operativo Windows stesso versioni impattanti da Windows 7 a Windows 10 a seconda della chiamata avanzate Procedimento locale (ALPC) funzione, il risultato è un Locale scalata di privilegi (LPE). Questo codice maligno consente effettivamente di ottenere privilegi amministrativi e modificare il sistema come programmato. Il tweet originale legato a un repository GitHub contenente il codice Proof-of-Concept. Questo permette in modo efficace gli utenti di computer per scaricare il codice di esempio e usarlo come gli pare - nella sua forma originale, modificato o incorporato in un payload.
A advisory di sicurezza è stato assegnato alla vulnerabilità - CVE-2018-8440. La sua descrizione è la seguente:
Un'elevazione di privilegi vulnerabilità esiste quando Windows gestisce impropriamente chiamate verso avanzate Procedimento locale chiamata (ALPC).
Un utente malintenzionato che riesca a sfruttare questa vulnerabilità potrebbe eseguire codice arbitrario nel contesto di protezione del sistema locale. Un utente malintenzionato potrebbe quindi installare programmi; vista, modificare, o cancellare i dati; oppure creare nuovi account con diritti utente completi.
Per sfruttare questa vulnerabilità, un utente malintenzionato dovrebbe innanzitutto accedere al sistema. Potrebbe quindi eseguire un'applicazione appositamente predisposta che potrebbe sfruttare la vulnerabilità e assumere il controllo del sistema interessato.
Gli hacker PowerPool, un hacker sconosciuto collettiva, è stato trovato per orchestrare una campagna di attacco. Finora un gruppo relativamente minore è stato colpito, tuttavia le posizioni delle macchine infette vetrina che le campagne sono globali. infezioni positivi derivano paesi come la seguente: Chile, Germania, India, le Filippine, Polonia, Russia, il Regno Unito, gli Stati membri e l'Ucraina.
La modalità delle operazioni risiede nella abuso di una funzione API che non controlla i permessi degli utenti in materia prescritto. Questo ha permesso agli hacker PowerPool di abusare del sistema operativo Windows, scrivendo le autorizzazioni alla Compiti cartella. Come risultato di questa azione gli utenti con permessi di sola lettura in grado di sostituire i file protetti da scrittura. Una scalata locale di privilegi viene poi fatto che può contribuire a fornire un file dannoso per l'host infetto.
L'analisi della sicurezza ha rivelato che finora l'obiettivo principale della vulnerabilità di Windows zero-day sembra essere la servizio di aggiornamento di Google - le legittime applicazioni che esegue la versione autonome controlli degli aggiornamenti, che è spesso sotto i privilegi amministrativi automaticamente da un predefinito di Microsoft Windows Task. Questo file di setup viene sovrascritto con un secondo stadio di malware che viene poi avviato.
Modalità delle operazioni della giornata Zero vulnerabilità di Windows
Gli hacker hanno messo a punto PowerPool malware specializzato che viene consegnato agli ospiti infetti. Gli indirizzi sono fissi, questo segnala che questa è una versione iniziale. Versioni aggiornate possono essere programmati in connessione automatica a un server predefinito che sarà in grado di segnalare all'host di hacker controllato appropriata. Una connessione sicura è stabilito con esso permettendo agli operatori di lanciare vari comandi. Quelli supportati sono i seguenti: esecuzione del comando, uccisione processo, upload di file / scaricare, elenco delle cartelle.
L'installazione persistente è stato trovato di avviare diversi moduli che consentono ai criminali di dirottare altre macchine sulla stessa rete:
- PowerDump - Questo è un modulo Metasploit che viene utilizzato per acquisire le credenziali di account dal Manager di Windows account di protezione.
- PowerSploit - Questo è un altro modulo Metasploit che permette agli hacker di personalizzare le conseguenze post-sfruttamento.
- SMBExec - Questo strumento PowerShell-based che elabora SMB (Samba) condivisioni di rete.
- I quark PwDump - Un programma di utilità che dirotta le credenziali di Microsoft Windows memorizzati.
- FireMaster - Questo è un altro modulo di violazione al sistema che può essere utilizzato per ripristinare le credenziali da applicazioni installate dall'utente come browser web, client di posta elettronica, applicazioni di messaggistica istantanea e ecc.
Aggiornamento! Microsoft ha rilasciato un aggiornamento di sicurezza risoluzione di questo problema, aggiornato il vostro sistema il più presto possibile alla versione più recente disponibile!
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: