Nul
Twee dagen na een security-onderzoeker vrijgegeven details en proof-of-concept code over in een ongepatchte Windows zero-dag, een malware-groep al verwerkt en de kwetsbaarheid in hun exploiteren ketting en probeerde te infecteren gebruikers over de hele wereld.
De zero-day gebruikt in deze malware distributie campagne is een (nog niet gecorrigeerde) kwetsbaarheid in de Windows Task Scheduler-functie voor de Geavanceerde Local Procedure Call (ALPC) functie.
Details over dit probleem uitgebracht op 27 augustus, op Twitter en GitHub, samen met een volledig werkende proof-of-concept exploit.
In OS-versies die zijn uitgebracht na Windows 7, de ALPC functie niet goed te controleren van machtigingen bij de interactie met bestanden die zijn opgeslagen in de Windows Taakplanner map. Een aanvaller met behulp van de PoC uitgebracht op Twitter/GitHub kan verheffen een normaal toestemming van de gebruiker niveau van de GEBRUIKER aan het SYSTEEM.
Omdat de onderzoeker die dit geopenbaard zero-day uitgebracht zowel een gecompileerd binair, maar ook het benutten van de broncode, infosec experts, op het moment voorspelde dat dit beveiligingslek zou zeer populair geworden met de auteurs van malware.
Hun voorspellingen waren voldaan binnen twee dagen, zij het, niemand wist in de tijd.
In een vandaag gepubliceerd rapport, ESET security-onderzoeker Matthieu Faou zegt hij, is het bijhouden van een groep die al gebruik te maken van de Windows ALPC zero-day voor de afgelopen week.
De groep –codenaam PowerPool– is het verzenden van een laag-volume van spam geselecteerde slachtoffers over de hele wereld, Faou zegt, met detecties afkomstig uit Chili, Duitsland, India, de Filippijnen, Polen, Rusland, het Verenigd Koninkrijk, de Verenigde Staten en Oekraïne.
Deze e-mails bevatten schadelijke bijlagen infecteren gebruikers met een eerste-fase achterdeur. Faou zegt dat als aanvallers bepalen dat de geïnfecteerde computer gevoelige data kunnen bevatten, zijn ze te downloaden van een tweede, krachtiger achterdeur. De groep maakt gebruik van de Windows zero-day te krijgen admin rechten voor hun backdoors.
Zie ook: Kritiek tot uitvoering van externe code fout in Apache Struts, legt de onderneming te vallen
In een e-mail interview met ZDNet, Faou zegt de groep is actief sinds ten minste het begin van 2017 bij zijn bedrijf is begonnen met het bijhouden van de activiteiten achter de twee-backdoor malware combo.
“Ik was niet in staat om duidelijk te identificeren met het uiteindelijke doel van deze groep,” Faou vertelde ZDNet. “Echter, de aard van hun instrumenten en het lage aantal slachtoffers suggereert dit is een spionage-campagne. Ze voeren spam campagnes, maar op een relatief laag volume.”
Maar Faou duidelijk gemaakt in een rapport publiceerde hij eerder vandaag dat de twee achterdeuren zijn nergens in de buurt zo complex als de malware gebruikt door de natie-staat cyber-spionage groepen.
Zie ook: Mexicanen geserveerd met Donkere Tequila in spyware spree
Bovendien, de onderzoeker ook naar voren dat, in tegenstelling tot de overige gevallen wanneer onderzoekers onthullen zero-dagen online zonder te wachten op patches, dit keer erger waren.
“Als alleen een gecompileerde versie van het Proof-of-Concept is beschikbaar, het is moeilijker te hergebruiken omdat de malware-ontwikkelaars eerst te onderwerpen aan reverse-engineering het programma om het opnieuw te implementeren in hun malware,” Faou vertelde ZDNet.
“Het verschil tussen deze zero-day en de meeste van de voorgaande is de release van de volledige source code van het uitbuiten van de kwetsbaarheid. Dus, het kan gemakkelijk hergebruikt worden door malware-ontwikkelaars,” voegde hij eraan toe.
Dit is de reden waarom de beveiliging onderzoekers gepubliceerd details over een nieuwe exploitatie-techniek waarbij Windows 10 Instellingen Paneel links (.SettingContent-ms-bestanden), duurde het malware-auteurs weken van experimenteren voordat je dingen goed, tegen die tijd, had Microsoft gepatcht de uitgifte in augustus 2018 Patch dinsdag.
Maar dit keer rond, Faou zei de PowerPool groep kreeg het gelijk bij de eerste poging.
“Ja, ze waren in staat om te verheffen en de privileges van hun 2e fase achterdeur van een beperkte gebruiker om SYSTEEM,” Faou vertelde ons toen we vroegen over het succes van de groep beoordelen. “Ik vond geen spoor van eerdere mislukte pogingen,” zei hij.
Een analyse van de PowerPool groep backdoors en andere details met betrekking tot de modus operandi zijn opgenomen in Faou het verslag gepubliceerd op de ESET-website.
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0