Изначально исходный код уязвимости, обнаруженной в механизме Advanced Local Procedure Call (ALPC), используемом Планировщиком заданий Windows, был опубликован исследователем безопасности под ником SandboxEscaper еще 27 августа.
Проблема связана с API-функцией SchRpcSetSecurity, которая некорректно проверяет разрешения пользователя и позволяет производить запись файлов по пути: C:\Windows\Task.
Уязвимость затрагивает операционные системы Microsoft (от Windows 7 до Windows 10) и может использоваться злоумышленником для получения повышенных привилегий на уровне SYSTEM.
Спустя несколько дней после того, как код эксплойта появился в сети, исследователи ESET обнаружили первые случаи его использования в реальных вредоносных кампаниях кибер-группировки, известной как PowerPool из-за специализации на вредоносных инструментах для PowerShell.
Атаки направлены на GoogleUpdate.exe
Небольшое количество жертв атак зафиксировано в Чили, Германии, Индии, на Филиппинах, в Польше, России, Великобритании, США и Украине.
Исследователи отмечают, что PowerPool не использует бинарную версию эксплойта. Злоумышленники внесли изменения в исходный код и перекомпилировали эксплойт.
Целью атакующих является файл C:\Program Files (x86)\Google\Update\GoogleUpdate.exe, который представляет собой легитимное средство обновления приложений Google и часто запускается с правами администратора с помощью планировщика заданий Windows.
Уязвимость позволяет киберпреступникам переписать содержимое исполняемого файла средства обновления копией бэкдора, который используется на втором этапе атак группировки. При следующем вызове GoogleUpdate.exe, бэкдор запуститься с привилегиями SYSTEM.
По мнению исследователей, операторы вредоносного ПО из группы PowerPool, скорее всего, применяют бэкдор только для тех жертв, которые представляют интерес после этапа разведки.
Как защитить систему
Microsoft до сих пор не исправила ошибку ALPC, но ожидается, что 11 сентября она выпустит исправление в своих ежемесячных обновлениях безопасности.
Снизить риски можно и без помощи Microsoft, хотя компания не одобряет сторонние решения. Пользователь Karsten Nilsen предложил способ заблокировать эксплойт, сохранив возможность запуска запланированных задач, которые может вызывать нарушения работы основного интерфейса Планировщика.
Short term solution on VU#906424:
— Karsten Nilsen (@karsten_nilsen) 28 августа 2018 г.
icacls c:\windows\tasks /remove:g "Authenticated Users"
icacls c:\windows\tasks /deny system:(OI)(CI)(WD,WDAC)
Tested and blocks 0day, changing these rights may result in unexpected behavior in scheduled tasks.@USCERT_gov
Пользователи Windows 10 (версия 1803) могут снизить риск эксплуатации, применив микропатч. Исправление является временным и требует установки клиентского приложения 0patch от Acros Security.
Скачать 0patch agent for Windows
Компания не скрывает исходный код микропатча.
Blog post is in the making but for the impatient, here&&s the source code of our micropatch. Three patchlets, one calling RpcImpersonateClient, one removing a premature call to RpcRevertToSelf, and one adding a RpcRevertToSelf call where it should be. Just 4 instructions. pic.twitter.com/PtgsPJiiSO
— 0patch (@0patch) 30 августа 2018 г.
По материалам Bleeping Computer
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России