Een nieuwe Microsoft Windows zero-day kwetsbaarheid bekend als ALPC LPE is uitgebuit in het wild. De gevaarlijke feit is dat de aanvallen van hackers gebeurde kort na de informatie online werd gepubliceerd. Gebruikers van over de hele wereld zijn getroffen.
Powerpool Hackers achter de Windows Zero-day kwetsbaarheid
Details over de Windows LPE zero-day kwetsbaarheid werden in eerste instantie gepubliceerd op augustus 27 2018 op GitHub en gepopulariseerd via een Twitter-functie die later werd verwijderd. Toch details over haar aanwezigheid zijn weg naar hackers want er zijn meldingen van aanvallen gebruik te maken van deze.
Het lek zelf is een fout in het Windows besturingssysteem zelf beïnvloedende versies van Windows 7 naar Windows 10 afhankelijk van de Advanced Local Procedure Call (ALPC) functie, het resultaat van een Local Privilege Escalation (LPE). Dit betekent in wezen dat kwaadaardige code om de administratieve rechten te krijgen en het systeem aanpassen zoals geprogrammeerd. De originele tweet gekoppeld aan een GitHub repository die Proof of Concept code. Dit maakt het mogelijk effectief computer gebruikers in staat om het monster code te downloaden en te gebruiken als ze willen - in zijn oorspronkelijke vorm, gewijzigd of ingebed in een payload.
Een security advisory is toegewezen aan de kwetsbaarheid - CVE-2018-8440. De beschrijving is de volgende:
Een misbruik van bevoegdheden bestaat als Windows niet goed omgaat met oproepen naar Uitgebreid Local Procedure Call (ALPC).
Een aanvaller die dit beveiligingslek misbruikt, kan willekeurige code uitvoeren in de beveiligingscontext van het lokale systeem. Een aanvaller kan vervolgens programma's installeren; view, verandering, of wissen; of nieuwe accounts met volledige gebruikersrechten.
Om dit beveiligingslek te misbruiken, Een aanvaller moet eerst in te loggen op het systeem. Een aanvaller kan dan een speciaal ontworpen programma dat de kwetsbaarheid kan misbruiken en controle over een getroffen systeem.
De PowerPool hackers, een voorheen onbekende hacken collectieve, Gebleken is dat een aanval campagne orkestreren. Tot nu toe een relatief kleine groep is aangetast, maar de locaties van de besmette machines demonstreren dat de campagnes zijn globale. Positieve infecties stam landen zoals de volgende: Chili, Duitsland, India, de Filipijnen, Polen, Rusland, het Verenigd Koninkrijk, de Verenigde Staten en Oekraïne.
De wijze van activiteiten ligt in het misbruik van een API-functie die de gebruiker machtigingen in de voorgeschreven zaak heeft te controleren. Dit heeft de PowerPool hackers toegestaan om het Windows-besturingssysteem te misbruiken door het schrijven van machtigingen voor de taken map. Als gevolg van deze actie gebruikers met een read-only rechten kunnen tegen schrijven beveiligde bestanden te vervangen. Een lokale privilegebreuk gebeurt dan die kunnen helpen om een kwaadaardig bestand naar de geïnfecteerde gastheer.
De veiligheid analyse is gebleken dat tot nu toe het belangrijkste doelwit van de Windows zero-day kwetsbaarheid lijkt te zijn Google Update-service - de legitieme applicaties die de autonome versie-update controles die vaak onder beheerdersrechten automatisch door een vooraf gedefinieerde Microsoft Windows Task presteert. Deze setup-bestand wordt overschreven met een tweede-fase malware die dan wordt gestart.
Mode of Operations van de Windows Zero-day kwetsbaarheid
De PowerPool hackers hebben een specialist malware die aan de geïnfecteerde gastheer wordt geleverd bedacht. De adressen worden hardcoded, Dit signaleert dat dit een eerste versie. Bijgewerkte versies kunnen worden geprogrammeerd in het automatisch aansluiten van een vooraf bepaalde server die de geschikte gastheer hacker bestuurd signaleren. Een beveiligde verbinding tot stand gebracht met haar waardoor de exploitanten om verschillende opdrachten te lanceren. De ondersteunde daarvan zijn de volgende: commando-uitvoering, proces doden, file upload / download, mappenlijst.
De aanhoudende installatie is gevonden dat verschillende modules waardoor de criminelen andere machines kapen op hetzelfde netwerk:
- PowerDump - Dit is een Metasploit module die wordt gebruikt om accountgegevens van het Windows Security Account Manager verwerven.
- PowerSploit - Dit is een ander Metasploit module die het mogelijk maakt de hackers om hun post-exploitatie gevolgen aan te passen.
- SMBExec - Dit is een PowerShell-based tool die SMB-processen (Samba) netwerkshares.
- quarks pwdump - Een hulpprogramma dat de opgeslagen Microsoft Windows-referenties kaapt.
- Firemaster - Dit is een andere hacking module die gebruikt kan worden om de geloofsbrieven van de gebruiker geïnstalleerde toepassingen zoals webbrowsers te herstellen, e-mailclients, instant messaging apps en etc.
Update! Microsoft heeft een beveiligingsupdate het oplossen van dit probleem, uw systemen te werken zo snel mogelijk om de meest recente versie!
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: