Uma nova vulnerabilidade zero-day Microsoft Windows conhecido como ALPC LPE tem sido explorado na natureza. O fato perigoso é que os ataques de hackers aconteceu logo após a informação foi publicada on-line. Usuários de todo o mundo são afetadas.
Powerpool Hackers estão por trás da vulnerabilidade do Windows Zero-day
Detalhes sobre a vulnerabilidade de dia zero do Windows LPE foram postados inicialmente em agosto 27 2018 no GitHub e popularizado através de um post no Twitter que mais tarde foi eliminado. Ainda detalhes sobre sua presença fez o seu caminho para hackers, pois há relatos de ataques, aproveitando-lo.
A vulnerabilidade em si é um bug no sistema operacional Windows em si impactando as versões do Windows 7 para o Windows 10 dependendo do avançado local Procedure Call (ALPC) função, o resultado de a é um Escalada de privilégios local (LPE). Este código malicioso efetivamente permite obter privilégios administrativos e modificar o sistema como programado. O Piu original é ligada a um repositório GitHub contendo código Prova de Conceito. Isso efetivamente permite que os usuários de computador para baixar o código de exemplo e usá-lo como eles gostam - em sua forma original, modificada ou incorporado em uma carga útil.
Um aviso de segurança foi atribuída à vulnerabilidade - CVE-2018-8440. Sua descrição é a seguinte:
Uma vulnerabilidade de elevação de privilégio quando o Windows lida com impropriamente chamadas para Avançada local Procedure Call (ALPC).
Um invasor que explorar com êxito essa vulnerabilidade pode executar código arbitrário no contexto de segurança do sistema local. Um intruso poderia então instalar programas; Visão, mudança, ou dados de exclusão; ou criar novas contas com direitos totais de usuário.
Para explorar esta vulnerabilidade, um invasor primeiro tem que fazer logon no sistema. Um intruso poderia, em seguida, executar uma aplicação especialmente concebida para o efeito que poderia explorar a vulnerabilidade e tomar o controlo de um sistema afectado.
Os hackers Powerpool, um coletivo pirataria anteriormente desconhecida, foi encontrado para orquestrar uma campanha de ataque. Até agora, um grupo relativamente menor foi afetada, no entanto os locais das máquinas infectadas mostrar que as campanhas são globais. infecções positivos derivam países como o seguinte: Chile, Alemanha, Índia, as Filipinas, Polônia, Rússia, o Reino Unido, Estados Unidos e Ucrânia.
O modo de mentiras operações no abuso de uma função API que não verificar os usuários permissões na matéria prescrita. Isto permitiu que os hackers Powerpool abusar do sistema operacional Windows, escrevendo permissões para o tarefas pasta. Como resultado desta usuários de ação com apenas permissões de leitura pode substituir arquivos protegidos por gravação. A escalada de privilégios local é então feito o que pode ajudar a entregar um arquivo malicioso para o hospedeiro infectado.
A análise de segurança revelou que até agora o principal alvo das janelas vulnerabilidade zero-day parece ser a serviço Google Update - as aplicações legítimas que realiza a autônomas verificações de atualização de versão, que é muitas vezes sob privilégios administrativos automaticamente por um Microsoft Windows Task predefinidos. Este arquivo de configuração é substituído com um malware de segunda fase que é, então, começou.
Modo de Operações da vulnerabilidade do Windows Zero-day
Os hackers Powerpool criaram um malware especializado que é entregue aos hospedeiros infectados. Os endereços são codificados, isso sinaliza que esta é uma versão inicial. Versões atualizadas podem ser programados para conectar automaticamente para um servidor predefinido que pode sinalizar o hospedeiro controlado por hackers apropriada. Uma conexão segura é estabelecida com isso permitindo que os operadores para lançar vários comandos. Os suportados são os seguintes: execução de comandos, matança processo, arquivo de upload / download, lista de pastas.
A instalação persistente foi encontrado para iniciar vários módulos, permitindo que os criminosos para roubar outras máquinas na mesma rede:
- PowerDump - Este é um módulo Metasploit que é usado para contas adquirir credenciais do Gerente de Contas de Segurança do Windows.
- PowerSploit - Este é outro módulo Metasploit, que permite a hackers para personalizar suas conseqüências pós-exploração.
- SMBExec - Esta é uma ferramenta baseada em PowerShell que os processos de SMB (Samba) compartilhamentos de rede.
- quarks PwDump - Um utilitário que seqüestra as credenciais do Microsoft Windows armazenados.
- FireMaster - Este é outro módulo Hacker, que pode ser usado para restaurar credenciais de aplicativos instalados pelo usuário, como navegadores web, clientes de email, aplicações de mensagens instantâneas e etc..
Atualizar! A Microsoft lançou uma atualização de segurança corrigir esse problema, atualizar seus sistemas o mais rápido possível para a última versão disponível!
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: