0day уязвимость Планировщика заданий Windows успешно эксплуатируется. Как защитить систему?

2018-09-06 | Автор | комментарии
Злоумышленники стали использовать эксплойт нулевого дня в компоненте Планировщика заданий Windows спустя два дня после того, как код подтверждения концепции уязвимости стал общедоступным в сети

Уязвимость Планировщика заданий Windows эксплуатируется вредоносным ПО

Изначально исходный код уязвимости, обнаруженной в механизме Advanced Local Procedure Call (ALPC), используемом Планировщиком заданий Windows, был опубликован исследователем безопасности под ником SandboxEscaper еще 27 августа.

Проблема связана с API-функцией SchRpcSetSecurity, которая некорректно проверяет разрешения пользователя и позволяет производить запись файлов по пути: C:\Windows\Task.

Уязвимость затрагивает операционные системы Microsoft (от Windows 7 до Windows 10) и может использоваться злоумышленником для получения повышенных привилегий на уровне SYSTEM.

Спустя несколько дней после того, как код эксплойта появился в сети, исследователи ESET обнаружили первые случаи его использования в реальных вредоносных кампаниях кибер-группировки, известной как PowerPool из-за специализации на вредоносных инструментах для PowerShell.

Атаки направлены на GoogleUpdate.exe

Небольшое количество жертв атак зафиксировано в Чили, Германии, Индии, на Филиппинах, в Польше, России, Великобритании, США и Украине.

Исследователи отмечают, что PowerPool не использует бинарную версию эксплойта. Злоумышленники внесли изменения в исходный код и перекомпилировали эксплойт.

Целью атакующих является файл C:\Program Files (x86)\Google\Update\GoogleUpdate.exe, который представляет собой легитимное средство обновления приложений Google и часто запускается с правами администратора с помощью планировщика заданий Windows.

Уязвимость позволяет киберпреступникам переписать содержимое исполняемого файла средства обновления копией бэкдора, который используется на втором этапе атак группировки. При следующем вызове GoogleUpdate.exe, бэкдор запуститься с привилегиями SYSTEM.

По мнению исследователей, операторы вредоносного ПО из группы PowerPool, скорее всего, применяют бэкдор только для тех жертв, которые представляют интерес после этапа разведки.

Как защитить систему

Microsoft до сих пор не исправила ошибку ALPC, но ожидается, что 11 сентября она выпустит исправление в своих ежемесячных обновлениях безопасности.

Снизить риски можно и без помощи Microsoft, хотя компания не одобряет сторонние решения. Пользователь Karsten Nilsen предложил способ заблокировать эксплойт, сохранив возможность запуска запланированных задач, которые может вызывать нарушения работы основного интерфейса Планировщика.

Пользователи Windows 10 (версия 1803) могут снизить риск эксплуатации, применив микропатч. Исправление является временным и требует установки клиентского приложения 0patch от Acros Security.

Обзор Windows 10 April 2018 Update (версия 1803). Timeline

Скачать 0patch agent for Windows

Компания не скрывает исходный код микропатча.

По материалам Bleeping Computer

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества