آسیب‌پذیری روز-صفرم در ویندوز توسط گروه نفود PowerPool مورد بهره‌برداری قرار گرفت

 

محققان امنیتی از شرکت ای‌ست گزارش دادند آسیب‌پذیری روز-صفرم در ویندوز که به تازگی افشاء شد، توسط یک گروه نفوذ با نام PowerPool مورد بهره‌برداری قرار گرفته است. نفوذگران برای ارتقاء امتیاز در بدافزار خود از این آسیب‌پذیری استفاده می‌کنند. این آسیب‌پذیری در تاریخ ۲۷ آگوست توسط یک محقق افشاء شد و کد بهره‌برداری آن را نیز منتشر کرد. این فرد قبل از افشای آسیب‌پذیری به‌طور عمومی، آن را به مایکروسافت گزارش نداده بود. 


این موضوع نشان می‌دهد نفوذگران خبرها را دنبال کرده و با سرعت هرچه تمام‌تر به دنبال توسعه و یا استفاده از بهره‌برداری‌ها هستند. این آسیب‌پذیری، زمان‌بند وظایف در ویندوز و فراخونی رویه‌ی محلی پیشرفته (ALPC) را تحت تاثیر قرار داده است. یک مهاجم با دسترسی‌های محلی می‌تواند امتیازات خود را به سطح SYSTEM  ارتقاء دهد. برای این منظور باید فایل‌هایی که توسط فهرست کنترل دسترسیِ فایل سیستم محافظت می‌شوند، بازنویسی شوند. 


کد بهره‌برداری که این فرد منتشر کرده بود بر روی ویندوز ۱۰ با معماری ۶۴ بیتی و ویندوز سرور ۲۰۱۶ به خوبی کار می کرد و اعلام شده بود احتمالا بر روی معماری ۳۲ بیتی نیز قابل اجرا است. شرکت مایکروسافت در حال بررسی این آسیب‌پذیری است ولی هنوز وصله یا راه‌حلی را برای برطرف کردن این آسیب‌پذیری منتشر نکرده است. احتمالا در حال حاضر که آسیب‌پذیری مورد بهره‌برداری قرار گرفته، زودتر از موعد به‌روزرسانی و وصله‌ای را منتشر کند. با این حال انجمن متن‌باز ۰patch  وصله‌ی غیررسمی را برای این آسیب‌پذیری منتشر کرده بود.


به گفته‌ی محققان امنیتی شرکت ای‌ست، این آسیب‌پذیری ارتقاء امتیاز محلی توسط گروه نفوذی با نام PowerPool مورد بهره‌برداری قرار گرفته است. گزارش‌ها حاکی از آن است که این بهره‌برداری تعداد کمی از کاربران واقع در ایالات متحده، انگلستان، آلمان، اوکراین، شیلی، هند، روسیه، فیلیپین و لهستان را هدف قرار داده است. این گروه نفوذ کد منبعِ بهره‌برداری که عمومی منتشر شده بود را دست‌کاری کرده و تغییر داده و نسخه‌ی ویژه‌ی خود را کامپایل کرده است. 


محققان اعلام کردند نفوذگران برای بازنویسی فایل C:\Program Files(x86)\Google\Update\GoogleUpdate.exe که به‌روزرسانی‌کننده‌ی قانونی برنامه‌های گوگل است، از این آسیب‌پذیری بهره‌برداری کرده‌اند. این برنامه به‌طور متناوب و با دسترسی‌های مدیریتی بر روی ویندوز اجرا می‌شود و مهاجم با بازنویسی آن با بدافزار مورد نظر خود، می‌تواند اهداف مخرب را با امتیازات بالا بر روی سیستم قربانی اجرا کند. 


بدافزار مرحله‌ی اول توسط این گروه نفوذ در قالب هرزنامه با ضمیمه‌هایی از نوع .lnk بر روی سیستم قربانی قرار می‌گیرد که سازوکار ماندگاری بر روی سیستم را برای نفوذگران فراهم می‌کند. اگر سیستم مورد نظر، همان سیستم مطلوبی باشد که مهاجمان دنبال آن هستند، در ادامه بار داده‌ی مرحله‌ی بعدی دریافت و نصب می‌شود. بار داده‌ی مخربِ مرحله‌ی دوم قابلیت اجرای دستورات، بارگذاری و بارگیری فایل‌ها، خاتمه دادن به پردازه‌ها و فهرست کردن پوشه‌ها را دارا می‌باشد. بار داده‌ی مرحله‌ی دوم برخی از ابزارهای متن‌باز را دریافت می‌کند که از جمله‌ی آن‌‌ها می‌توان SMBExec، Quarks PwDump و FireMaster را نام برد.

 

منبع

پست‌های مشابه

Leave a Comment