Una nueva vulnerabilidad de Microsoft Windows de día cero conocida como ALPC LPE ha sido explotada en la naturaleza. El hecho peligroso es que los ataques de piratas informáticos ocurrieron poco después de la información fue publicada en línea. Los usuarios de todo el mundo están afectadas.
Powerpool los piratas informáticos están detrás de las ventanas de la vulnerabilidad de día cero
Los detalles sobre la LPE de Windows vulnerabilidad de día cero fueron publicadas inicialmente de agosto 27 2018 en GitHub y popularizado a través de un mensaje de Twitter que se elimine más tarde. Aún detalles acerca de su presencia hizo su camino a los piratas informáticos, ya que hay informes de ataques que aprovechan lo.
La vulnerabilidad en sí es un error en el propio sistema operativo Windows versiones impactantes desde Windows 7 a Windows 10 dependiendo de la avanzada de llamadas Procedimiento Local (ALPC) función, el resultado de la es una Elevación local de privilegios (LPE). Este código malicioso permite efectivamente obtener privilegios administrativos y modificar el sistema según lo programado. El tweet original, vinculado a un repositorio GitHub que contiene código de prueba de concepto. Esto permite de manera efectiva los usuarios de ordenador para descargar el código de ejemplo y lo utilizan como les gusta - en su forma original, modificado o incrustado en una carga útil.
Un aviso de seguridad se ha asignado a la vulnerabilidad - CVE-2018-8440. Su descripción es la siguiente:
Una vulnerabilidad de elevación de privilegios debida cuando Windows trata incorrectamente llamadas a avanzados Procedimiento de Llamada Local (ALPC).
Un atacante que aprovechara esta vulnerabilidad podría ejecutar código arbitrario en el contexto de seguridad del sistema local. Un atacante podría instalar programas; vista, cambio, o borrar datos; o crear cuentas nuevas con todos los derechos de usuario.
Para aprovechar esta vulnerabilidad, un atacante primero tendría que iniciar sesión en el sistema de. Un atacante podría ejecutar una aplicación especialmente diseñada que aprovechara la vulnerabilidad y tomar el control de un sistema afectado.
Los piratas informáticos PowerPoolTM, un piratería previamente desconocido colectiva, se ha encontrado para orquestar una campaña de ataque. Hasta ahora, un grupo relativamente menor se ha visto afectada, Sin embargo la ubicación de las máquinas infectadas mostrar que las campañas son globales. infecciones positivas provienen de países como la siguiente: Chile, Alemania, India, las Filipinas, Polonia, Rusia, el Reino Unido, los Estados Unidos y Ucrania.
El modo de funcionamiento radica en el abuso de una función API que no compruebe los permisos a los usuarios en la materia prescrita. Esto ha permitido a los piratas informáticos PowerPoolTM de abusar del sistema operativo Windows escribiendo permisos para el Tareas carpeta. Como resultado de esta acción los usuarios con permisos de sólo lectura puede reemplazar archivos protegidos contra escritura. Una elevación local de privilegios se realiza a continuación, que puede ayudar a entregar un archivo malicioso para los enfermos de acogida.
El análisis de la seguridad ha revelado que hasta el momento el objetivo principal de la vulnerabilidad de día cero en Windows parece ser el Servicio de actualización Google - las aplicaciones legítimas que realiza las comprobaciones de actualizaciones de versión autónomas, que es a menudo bajo privilegios administrativos automáticamente por un predefinido tareas de Microsoft Windows. Este archivo de configuración se sobrescribe con un malware de segunda fase que se inicia a continuación,.
Modo de Operaciones de las ventanas de vulnerabilidad de día cero
Los piratas informáticos PowerPoolTM han ideado un software malicioso especialista que se entrega a los huéspedes infectados. Las direcciones están codificados, esto indica que se trata de una versión inicial. Las versiones actualizadas se pueden programar en conectar automáticamente a un servidor predefinido que se puede indicar el anfitrión pirata informático controlado apropiado. Una conexión segura se establece con ello permitir que los operadores lanzar varios comandos. Los soportados cuáles son los siguientes: ejecución de comandos, matanza proceso, archivo de carga / descarga, lista de carpetas.
La instalación persistente se ha encontrado para iniciar varios módulos que permiten a los delincuentes para secuestrar otras máquinas en la misma red:
- PowerDump - Se trata de un módulo de Metasploit que se utiliza para adquirir credenciales de la cuenta del Administrador de cuentas de seguridad de Windows.
- PowerSploit - Este es otro módulo de Metasploit que permite a los hackers para personalizar sus consecuencias posteriores a la explotación.
- SMBExec - Esta es una herramienta basada en PowerShell que procesa SMB (Samba) recursos compartidos de red.
- quarks pwdump - Una utilidad que secuestra las credenciales de Microsoft Windows almacenados.
- FireMaster - Este es otro módulo de piratería que se puede utilizar para restaurar las credenciales de las aplicaciones instaladas por el usuario, tales como navegadores web, clientes de correo electrónico, aplicaciones de mensajería instantánea y etc..
Actualización! Microsoft lanzó una actualización de seguridad solucionar este problema, actualizar sus sistemas tan pronto como sea posible a la última versión disponible!
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: