Windows任务计划程序遭0-day攻击

Windows任务计划程序遭0-day攻击

恶意软件开发人员已经开始针对Windows任务计划程序组件展开0-day攻击,两天后该漏洞的概念验证代码随即暴露在网络上。Windows任务计划程序遭0-day攻击

8月27日,网名为SandboxEscaper的安全研究员发布了一组源代码,可以利用Windows任务计划程序使用的高级本地过程调用(ALPC)界面中的安全漏洞。

更具体地说,问题出在了SchRpcSetSecurity API函数上,该函数无法正确检查用户的权限,允许任何人对任务管理器C:\ Windows \ Task中的文件具有写入权限。因此,具有只读访问权限的人可以替换文件中的内容,或者在文件夹中创建文件以链接到任何目标文件,并获得对任何目标文件的写入权限。

该漏洞影响Win 7到Win10系统版本,攻击者可以利用该漏洞将其权限升级到访问所有SYSTEM帐户级别。

在攻击代码(源代码和二进制代码)生效的几天后,ESET的恶意软件研究人员注意到,该代码是由被称为PowerPool的攻击者主动使用的。PowerPool之名的由来原因在于这些攻击者倾向于使用PowerShell编写的工具进行横向移动。

PowerPool以GoogleUpdate.exe为目标

该犯罪团伙攻击过许多国家的用户,在智利,德国,印度,菲律宾,波兰,俄罗斯,英国,美国和乌克兰等地都有其受害者。

研究人员表示,PowerPool开发人员没有使用该漏洞的二进制版本,而是在重新编译源代码之前对源代码进行一些细微的更改。

“PowerPool的开发人员选择更改文件C:\ Program Files(x86)\ Google \ Update \ GoogleUpdate.exe的内容。这是Google应用程序的合法更新程序,并且通常由Microsoft Windows任务在管理权限下运行,” ESET注意到。

Windows任务计划程序遭0-day攻击

威胁行为者更改了Google Updater可执行文件的权限

这允许PowerPool使用后门副本覆盖Google updater可执行文件,而这个后门副本他们通常在攻击的第二阶段才会使用。当下次调用更新程序时,后门将会以SYSTEM权限启动。

根据研究人员的说法,PowerPool使用的第一阶段恶意软件是通过初始电子邮件发送的,是专为侦察目的而设计的后门。第一阶段后门在设备上进行侦察,包括两个可执行文件。首先是主要的后门, 通过服务器建立持久性并收集代理信息。C&C服务器的地址包含在此二进制文件中,该二进制文件可以执行命令并将目标设备上的信息发送回C&C服务器。第二个可执行文件捕获目标显示的屏幕截图,并通过后门对其进行渗透。

如果攻击者对受感染设备感兴趣,则恶意软件会下载第二阶段后门,该后门能够在系统上执行命令,上载和下载文件,终止进程以及列出文件夹。第二阶段恶意软件下载到受感染设备的文件包括几个允许攻击者在网络上横向移动的开源工具,包括PowerDump,PowerSploit,SMBExec,Quarks PwDump和FireMaster。

微软今天没有修补ALPC错误,但预计将在9月11日的月度安全更新中发布修复程序。

尽管微软官方没有批准,但在没有微软帮助的情况下还是可以一些缓解措施的。Karsten Nilsen提供的解决方案阻止了漏洞并允许计划任务运行,但它可能会破坏遗留任务计划程序界面创建的内容。

Windows任务计划程序遭0-day攻击

针对这一漏洞,网络安全公司Acros Security发布了一个临时修复程序(称为微补丁程序),可防止利用该特定的0-day攻击。目前仅支持64位Win 10系统(最新版本1803)用户通过该微补丁来修复漏洞。其他平台的适用微补丁目前仍在积极开发中,但安全研究人员Will Dormann和Kevin Beaumont报告说,通过微调,可以修改漏洞利用代码,以便在32位版本上运行。该修复是临时的,用户可以通过下载和安装0patch Agent客户端来应用临时补丁。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/113139.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code