Malwareförfattare utnyttjar den senaste 0-dagars sårbarheten i Windows Task Scheduler

0 Shares

Det är drygt en vecka sedan en sårbarhet i Windows Task Scheduler avslöjades. En patch för 0-dagen har släppts av tredje partens säkerhetsföretag 0patch, men det finns dåliga nyheter för alla som inte har säkrat sitt system mot säkerhetshotet – malware-författare utnyttjar redan felet.

Utnyttjandet underlättades delvis av det faktum att källkoden för ett bevis på konceptutnyttjande för ALPC LPE-sårbarheten – liksom en binär – publicerades på GitHub. Nu har en grupp som har fått namnet PowerPool upptäckts med koden i en skadlig kampanj.

Se även:

Säkerhetsföretaget ESET märkte kampanjen och säger: “Som man kunde ha förutsagt tog det bara två dagar innan vi först identifierade användningen av denna exploatering i en skadlig kampanj från en grupp som vi har kallat PowerPool. Denna grupp har ett litet antal offer och enligt både vår telemetri och uppladdningar till VirusTotal (vi betraktade endast manuella uppladdningar från webbgränssnittet), omfattar länderna Chile, Tyskland, Indien, Filippinerna, Polen, Ryssland, Storbritannien, USA och Ukraina. ” .

I stället för att använda den publicerade källkoden “som den är”, ändrade PowerPool den något innan den kompilerades igen – antagligen antingen i ett försök att undvika upptäckt eller för att få det att se ut som ett nytt arbete.

ESET förklarar hur hotaktören använde en fel i SchRpcSetSecurity API-funktionen för att få skrivåtkomst till filen GoogleUpdate.exe. Sedan fortsätter förklaringen, “de skriver över den med en kopia av deras andra stegs skadliga program för att få SYSTEM-privilegier nästa gång uppdateraren anropas”. Det andra stegets skadliga program är en bakdörr.

ESET utfärdar en varning om hur denna sårbarhet avslöjades:

Att avslöja sårbarheter utanför en samordnad avslöjandeprocess riskerar i allmänhet många användare. I det här fallet kan även den mest uppdaterade versionen av Windows äventyras eftersom ingen korrigeringsfil släpptes när sårbarheten och utnyttjandet publicerades. CERT-CC ger vissa begränsningar men Microsoft har inte officiellt godkänt dem.

Den här specifika kampanjen riktar sig till ett begränsat antal användare, men låt dig inte luras av det: det visar att cyberbrottslingar också följer nyheterna och arbetar med att utnyttja exploater så snart de är offentligt tillgängliga.

Eftersom Microsoft ännu inte släppt en åtgärd för sårbarheten, utsätts användare i risk om de inte är villiga att placera sin säkerhet i händerna på tredjeparts patchutvecklare 0patch.

Bildkredit: Spectral-Design / Shutterstock

0 Shares