Хакеры создали вредоносное программное обеспечение с эксплойтом для уязвимости нулевого дня Microsoft, которая была обнаружена несколькими днями ранее исследователем безопасности в блоге в Twitter.
Операционные системы Microsoft Windows, от Windows 7 до Windows 10 и системы Windows Сервер 2016 были затронуты этой уязвимостью локальной эскалации прав доступа (Local Privilege Escalation).
Доказательство концепции этого эксплойта было выпущено в репозитории GitHub, который может быть модифицирован и перекомпилирован любым человеком для того, чтобы улучшить вектор атаки путем добавления методов обхода обнаружений.
Теперь неизвестная группа киберпреступников, названная PowerPool, начала использовать этот эксплойт для проведения злонамеренной кампании, целью которой является нападения на уязвимых жертв во многих странах, включая Чили, Германию, Индию, Филиппины, Польшу, Россию, Великобританию, США и Украину.
Злоумышленники модифицировали исходный код
Авторы вредоносных программ из PowerPool слегка изменили исходный код и перекомпилировали его, и они не использовали повторно двоичный файл, который был предоставлен оригинальным автором эксплойта.
Серьезный недостаток, обнаруженный в функции API SchRpcSetSecurity, позволяет пользователю иметь права на запись для любого файла в C:\Windows\Task в независимости от его реальных прав доступа, потому что функция API не проверяет права пользователя должным образом.
Этот недостаток позволяет пользователю, сделать любую запись на диске C:\Windows\Task, а также дает возможность создать файл в этой папке, который, в свою очередь будет являться жесткой ссылкой на любой целевой файл.
Описание работы эксплойта его автором
Позже мы можем получить права доступа на запись к этому целевому файлу, вызвав взломанную функцию SchRpcSetSecurity.
В этом случае автор вредоносной программы PowerPool решил изменить содержимое файла C:\Program Files (x86)\Google\Update\GoogleUpdate.exe, что является одним из законных обновлений компании Google.
Здесь атакующий злоупотребляет SchRpcCreateFolder для изменения разрешений исполняемого обновленного файла Google.
Вышеупомянутые операторы PowerPool позволяют получить доступ на запись к исполняемому файлу GoogleUpdate.exe.
Начальный этап атаки
Первый этап атаки начинается со спама с прикрепленным вредоносным файлом, что и является начальным этапом атаки с кодом PowerShell.
«Кроме того, группа PowerPool в основном использует два разных бэкдоры: бэкдор первого этапа, который используется сразу после первого взлома, а затем бэкдор второго этапа, который будет использован на самых интересных машинах».
Согласно исследованиям ESET, это базовое вредоносное программное обеспечение, которое используется для рекогносцировки на целевой машине. Оно включает в себя два исполняемых файла Windows, а бэкдор второго этапа загружается через первый этап, предположительно, когда операторы считают, что машина достаточно интересна для них для того, чтобы оставаться на ней в течение более длительного времени.
Как только злоумышленник успешно получит доступ к машине при помощи бэкдора второго этапа, он начнет использовать несколько инструментов с открытым исходным кодом для выполнения дальнейших атак.
Индикаторы взлома
Hashes
| SHA-1 | Тип | Обнаруженное название |
| 038f75dcf1e5277565c68d57fa1f4f7b3005f3f3 | First stage backdoor | Win32/Agent.SZS |
| 247b542af23ad9c63697428c7b77348681aadc9a | First stage backdoor | Win32/Agent.TCH |
| 0423672fe9201c325e33f296595fb70dcd81bcd9 | Second stage backdoor | Win32/Agent.TIA |
| b4ec4837d07ff64e34947296e73732171d1c1586 | Second stage backdoor | Win32/Agent.TIA |
| 9dc173d4d4f74765b5fc1e1c9a2d188d5387beea | ALPC LPE exploit | Win64/Exploit.Agent.H |
Источник: https://gbhackers.com/exploit-windows-task-scheduler-zero-day/