Исследователи из ESET зафиксировали ряд целевых атак с использованием недавно опубликованной и пока не закрытой уязвимости нулевого дня в Планировщике заданий Windows.

Брешь в API-интерфейсе Планировщика проявляется при обработке вызовов ALPC и позволяет локальному пользователю повысить привилегии до уровня SYSTEM путем перезаписи содержимого файла в обход ограничений ACL. Детали этой уязвимости и соответствующий PoC-эксплойт были опубликованы 27 августа. Его работоспособность подтверждена для 64-битных версий Windows 10 и Windows Server 2016; с небольшими модификациями код можно также применить на 32-битной системе.

Через пару дней после публикации эксперты обнаружили, что уязвимость 0-day начала использовать в целевых атаках группировка, которой эксперты присвоили кодовое имя PowerPool. Как оказалось, атакующие слегка изменили исходный код опубликованного эксплойта, а затем повторно скомпилировали.

Используя уязвимость в Планировщике заданий, злоумышленники перезаписывают GoogleUpdate.exe — легитимный файл, регулярно исполняемый на Windows для обновления приложений Google. Поскольку эта программа запускается с правами администратора, ее замена вредоносным кодом (бэкдором) позволяет повысить для него привилегии.

Исследователи полагают, что участники PowerPool внедряют зловред таким способом лишь в тех случаях, когда жертва представляет для них интерес. Чтобы выяснить, стоит ли двигаться дальше по сети, проводится разведка — с помощью другого бэкдора, доставляемого, скорее всего, по электронной почте.

Количество жертв текущей кампании, по данным исследователей, пока невелико; попытки заражения обнаружены в Чили, Германии, Индии, Польше, России, Великобритании, США, а также на Украине и Филиппинах.

Патч для данной уязвимости Microsoft должна выпустить в следующий вторник, 11 сентября. В качестве временной меры защиты можно воспользоваться способом, который предложил Карстен Нильсен (Karsten Nilsen), хотя в Microsoft его не одобряют.

Можно также поставить временную заплатку, скачав агент 0patch от Acros Security. Этот способ доступен для пользователей 64-битных Windows 10 версий 1803, 1607 и 1709, а также 64-битной Windows Server 2016 (портирование на другие Windows осуществляется по запросу). Обойти «микропатч», по словам разработчиков, невозможно.

Категории: Вредоносные программы, Главное, Уязвимости, Хакеры