Хак-группа PowerPool уже использует для атак свежую 0-day уязвимость в Windows - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
7-09-2018, 00:01
Хак-группа PowerPool уже использует для атак свежую 0-day уязвимость в Windows - «Новости»
Рейтинг:
Категория: Новости

");
}else{
$('#mpu1-desktop').remove();
console.log('mpu1-desktop removed');
}
});

Специалисты ESET сообщили, что хакерская группа PowerPool уже эксплуатирует свежую проблему, связанную с Windows Task Scheduler, а именно механизмом Advanced Local Procedure Call (ALPC). Хакеры модифицировали публично доступный эксплоит и атакуют пользователей разных из стран мира, включая Чили, Германию, Индию, Филиппины, Россию, Украину, Польшу, Великобританию и США.


Напомню, что данную проблему в конце августа обнаружил ИБ-эксперт, известный как SandboxEscaper. Информация о неисправленном баге была открыто опубликована в Twitter вместе со ссылкой на proof-of-concept эксплоит.


Обнаруженный баг представляет собой локальное повышение привилегий, которое позволяет атакующему повысить права своей малвари от Guest или User до уровня SYSTEM. Проблема связана с работой Windows Task Scheduler, а именно механизма Advanced Local Procedure Call (ALPC). Хотя изначально считалось, что уязвимость представляет угрозу лишь для 64-разрядных систем, вскоре выяснилось, что незначительно модифицировав эксплоит, можно атаковать и 32-разрядные версии Windows.


В настоящее время официального исправления по-прежнему нет, однако о проблеме позаботились сторонние специалисты – инженеры компании Acros Security. Временный патч (или микропатч) для уязвимости в Task Scheduler ALPC был представлен в составе их продукта 0patch. 0patch – это платформа, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, для поддержки продуктов, которые уже не поддерживаются производителями, кастомного софта и так далее.


Теперь специалисты компании ESET сообщают, что уязвимость уже эксплуатирует как минимум одна группа хакеров — PowerPool. По данным исследователей, злоумышленники немного изменили оригинальный PoC-эксплоит и перекомпилировали его для атак.


PowerPool используют проблему для подмены содержимого C:Program Files(x86)GoogleUpdateGoogleUpdate.exe, легитимного апдейтера приложений Google. Так как этот файл регулярно исполняется с привилегиями администратора, это позволяет атакующим повысить привилегии своей малвари в целевой системе.


Эксперты ESET полагают, что атака PowerPool начинается с вредоносных таргетированных писем, которые хакеры рассылают жертвам. Судя по всему, эта хакерская группа связана с интересной спам-кампанией, обнаруженной специалистами SANS в мае текущего года. Тогда злоумышленники использовали для распространения малвари файлы Symbolic Link (.slk), и сейчас такую же тактику демонстрирует PowerPool.



Спам PowerPool

Вредонос, который распространяется в таких письмах, это бэкдор, чья цель — провести разведку ситуации.  Если зараженная машина вызывает у атакующих интерес, малварь загружает бэкдор второй стадии, который уже способен исполнять команды в системе, загружать и выгружать файлы, ликвидировать процессы и так далее.


На второй стадии атаки на скомпрометированную машину также загружается ряд опенсорсных инструментов, среди которых PowerDump, PowerSploit, SMBExec, Quarks PwDump и FireMaster. И именно на второй стадии атаки происходит эксплуатация 0-day, подмена GoogleUpdate.exe и повышение привилегий.


Исследователи пишут, что конечные цели группировки неясны до конца. Аналитики ESET полагают, что исходя из характера используемых PowerPool инструментов, можно говорить о некой форме кибершпионажа.


Источник новостиgoogle.com



Теги: CSS, PowerPool ESET малвари второй уязвимость

Просмотров: 931
Комментариев: 0:   7-09-2018, 00:01
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: