PowerPoolハッカーが新たに特定されたWindowsのゼロデイ脆弱性を悪用

にマーティン・ベルトフ | Last Update: 1月 2, 2023 | 0 コメントコメント

ALPCLPEとして知られる新しいMicrosoftWindowsのゼロデイ脆弱性が実際に悪用されています. 危険な事実は、情報がオンラインで公開された直後にハッキング攻撃が発生したことです。. 世界中のユーザーが影響を受けます.

PowerpoolハッカーはWindowsのゼロデイ脆弱性の背後にあります

Windows LPEのゼロデイ脆弱性に関する詳細は、最初は8月に投稿されました。 27 2018 GitHubで公開され、後で削除されたTwitter投稿を介して普及しました. それを利用した攻撃の報告があるため、その存在に関する詳細はハッカーに伝わりました.

脆弱性自体は、Windowsオペレーティングシステム自体のバグであり、Windowsのバージョンに影響を与えます。 7 Windowsへ 10 Advanced LocalProcedureCallに応じて (ALPC) 関数, の結果は ローカル特権の昇格 (LPE). これにより、悪意のあるコードが管理者権限を取得し、プログラムされたとおりにシステムを変更できるようになります。. 概念実証コードを含むGitHubリポジトリにリンクされた元のツイート. これにより、コンピューターユーザーはサンプルコードをダウンロードして、元の形式で好きなように使用できます。, ペイロードに変更または埋め込まれている.

この脆弱性にはセキュリティアドバイザリが割り当てられています— CVE-2018-8440. その説明は次のとおりです:

Windowsが高度なローカルプロシージャコールへの呼び出しを不適切に処理すると、特権の昇格の脆弱性が存在します (ALPC).

この脆弱性を悪用した攻撃者は、ローカルシステムのセキュリティコンテキストで任意のコードを実行する可能性があります. 攻撃者はプログラムをインストールする可能性があります; 見る, 変化する, またはデータを削除します; または完全なユーザー権限で新しいアカウントを作成します.

この脆弱性を悪用するには, 攻撃者は最初にシステムにログオンする必要があります. 攻撃者は、脆弱性を悪用して影響を受けるシステムを制御する可能性のある特別に細工されたアプリケーションを実行する可能性があります.

PowerPoolハッカー, これまで知られていなかったハッキング集団, 攻撃キャンペーンを調整することが判明しました. これまでのところ、比較的マイナーなグループが影響を受けています, ただし、感染したマシンの場所は、キャンペーンがグローバルであることを示しています. 陽性の感染症は、次のような国を根絶します: チリ, ドイツ, インド, フィリピン, ポーランド, ロシア, イギリス, 米国とウクライナ.

動作モードは、所定の事項でユーザーの権限をチェックしないAPI関数の悪用にあります. これにより、PowerPoolハッカーは、にアクセス許可を書き込むことにより、Windowsオペレーティングシステムを悪用することができます。 タスク フォルダ. このアクションの結果として、読み取り専用権限を持つユーザーは、書き込み保護されたファイルを置き換えることができます. 次に、ローカル特権の昇格が行われ、感染したホストに悪意のあるファイルを配信するのに役立ちます.

セキュリティ分析により、これまでのところ、Windowsのゼロデイ脆弱性の主な標的は Googleアップデートサービス —自律バージョン更新チェックを実行する正当なアプリケーション。多くの場合、事前定義されたMicrosoftWindowsタスクによって自動的に管理者権限が与えられます。. このセットアップファイルは、第2段階のマルウェアで上書きされてから開始されます.

Windowsのゼロデイ脆弱性の動作モード

PowerPoolハッカーは、感染したホストに配信される特殊なマルウェアを考案しました. アドレスはハードコードされています, これは、これが初期バージョンであることを示します. 更新されたバージョンは、適切なハッカーが制御するホストに信号を送ることができる事前定義されたサーバーに自動的に接続するようにプログラムできます。. 安全な接続が確立され、オペレーターはさまざまなコマンドを起動できます. サポートされているものは次のとおりです: コマンド実行, プロセス殺害, ファイルのアップロード/ダウンロード, フォルダリスト.

永続的なインストールにより、複数のモジュールが開始され、犯罪者が同じネットワーク上の他のマシンを乗っ取ることができるようになります。:

PowerDump —これは、Windowsセキュリティアカウントマネージャーからアカウントの資格情報を取得するために使用されるMetasploitモジュールです。.
PowerSploit —これは、ハッカーがエクスプロイト後の結果をカスタマイズできるようにする別のMetasploitモジュールです。.
SMBExec —これはSMBを処理するPowerShellベースのツールです (サンバ) ネットワーク共有.
クォークPwDump —保存されているMicrosoftWindowsの資格情報を乗っ取るユーティリティ.
FireMaster —これは、Webブラウザなどのユーザーがインストールしたアプリケーションから資格情報を復元するために使用できるもう1つのハッキングモジュールです。, メールクライアント, インスタントメッセージングアプリなど.

アップデート! Microsoftは、この問題を修正するセキュリティアップデートをリリースしました, システムをできるだけ早く最新の利用可能なバージョンに更新してください!