Zero
Due giorni dopo che un ricercatore di sicurezza ha rilasciato dettagli e proof-of-concept ” codice in una patch di Windows zero-day, un gruppo di malware aveva già incorporato la vulnerabilità nei loro sfruttare catena nel tentativo di infettare gli utenti di tutto il mondo.
La zero-day usata in questo malware campagna di distribuzione è un (ancora senza patch) una vulnerabilità in Windows Task Scheduler caratteristica, che interessano l’Avanzata Chiamata di Procedura Locale (ALCP) funzione.
Dettagli su questa vulnerabilità sono stati rilasciati il 27 agosto, su Twitter e su GitHub, insieme con un proof-of-concept sfruttare.
In OS versioni rilasciate dopo l’installazione di Windows 7, il ALPC funzione non controlla correttamente le autorizzazioni utente durante l’interazione con i file memorizzati in Windows Task Scheduler cartella. Un utente malintenzionato che utilizza il PoC pubblicato su Twitter/GitHub può elevare un utente normale il livello di autorizzazione dell’UTENTE al SISTEMA.
Perché il ricercatore, che ha rivelato la zero-day rilasciato sia un binario compilato, ma anche l’exploit del codice sorgente di infosec esperti, al momento, prevede che questo particolare vulnerabilità sarebbe diventato estremamente popolare con gli autori di malware.
Le loro previsioni sono state soddisfatte entro due giorni, anche se nessuno sapeva al momento.
In un rapporto pubblicato oggi, ESET ricercatore di sicurezza Matthieu Faou dice che è stato il monitoraggio di un gruppo che ha saputo sfruttare Windows ALPC zero-giorno per la settimana passata.
Il gruppo, con il nome in codice PowerPool– è stato l’invio di spam a basso volume selezionato vittime in tutto il mondo, Faou dice, con rilevamenti provenienti dal Cile, Germania, India, Filippine, Polonia, Russia, Regno Unito, Stati Uniti e Ucraina.
Questi messaggi di posta elettronica contenenti allegati dannosi che infettano gli utenti con una prima fase di backdoor. Faou dice che se gli aggressori determinare che il computer infetto potrebbe contenere dati sensibili, si scarica un secondo, più potente backdoor. Poi il gruppo utilizza Windows zero-day per ottenere i diritti di amministratore per il loro backdoor.
Vedi anche: Critica esecuzione remota di codice difetto in Apache Struts espone l’impresa di attacco
In un’intervista email con ZDNet, Faou, dice che il gruppo è stato attivo almeno dall’inizio del 2017, quando la sua azienda ha iniziato a monitorare l’attività dietro le due malware backdoor combo.
“Non ero in grado di identificare chiaramente l’obiettivo finale di questo gruppo,” Faou detto a ZDNet. “Tuttavia, la natura dei loro strumenti e il basso numero di vittime suggerisce che si tratta di una campagna di spionaggio. Condurre campagne di spam, ma ad un volume relativamente basso.”
Ma Faou fatto capire in un report ha pubblicato proprio oggi che i due backdoor sono neanche lontanamente così complesso come il malware utilizzato da stato-nazione cyber-spionaggio gruppi.
Vedi anche: i Messicani servita Scuro con Tequila, spyware sprea
Inoltre, il ricercatore ha anche evidenziato che, a differenza di altri casi, quando i ricercatori divulgare zero-giorni online senza aspettare le patch, questa volta le cose sono peggiorate.
“Quando solo una versione compilata del Proof-of-Concept è disponibile, è più difficile riutilizzare perché gli sviluppatori di malware, prima è necessario decodificare il programma, al fine di re-implementare in loro malware,” Faou detto a ZDNet.
“La differenza tra zero e il giorno e la maggior parte di quelli precedenti è il rilascio del codice sorgente completo utilizzato per sfruttare la vulnerabilità. Così, può essere facilmente riutilizzato dagli sviluppatori di malware”, ha aggiunto.
Questo è il motivo per cui la sicurezza, i ricercatori hanno pubblicato i dettagli di una nuova valorizzazione tecnica che coinvolge Windows 10 Impostazioni del Pannello collegamenti (.SettingContent-ms), ci sono voluti gli autori di malware settimane di sperimentazione prima di ottenere le cose per bene, da tempo, Microsoft aveva patchato il problema in agosto 2018 Patch Tuesday.
Ma questa volta, Faou ha detto che il PowerPool gruppo ha fatto la cosa giusta al primo tentativo.
“Sì, essi sono in grado di elevare i privilegi del loro 2 ° stadio backdoor da un utente con restrizioni di SISTEMA,” Faou ci ha detto quando abbiamo chiesto il gruppo del tasso di successo. “Non ho trovato alcuna traccia di precedenti tentativi falliti”, ha detto.
Un’analisi del PowerPool gruppo, backdoor e altri dettagli per quanto riguarda il loro modus operandi sono inclusi nel Faou rapporto pubblicato sul sito ESET.
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0