محققان امنیتی از شرکت ایست گزارش دادند آسیبپذیری روز-صفرم در ویندوز که به تازگی افشاء شد، توسط یک گروه نفوذ با نام PowerPool مورد بهرهبرداری قرار گرفته است. نفوذگران برای ارتقاء امتیاز در بدافزار خود از این آسیبپذیری استفاده میکنند. این آسیبپذیری در تاریخ ۲۷ آگوست توسط یک محقق افشاء شد و کد بهرهبرداری آن را نیز منتشر کرد. این فرد قبل از افشای آسیبپذیری بهطور عمومی، آن را به مایکروسافت گزارش نداده بود.
این موضوع نشان میدهد نفوذگران خبرها را دنبال کرده و با سرعت هرچه تمامتر به دنبال توسعه و یا استفاده از بهرهبرداریها هستند. این آسیبپذیری، زمانبند وظایف در ویندوز و فراخونی رویهی محلی پیشرفته (ALPC) را تحت تاثیر قرار داده است. یک مهاجم با دسترسیهای محلی میتواند امتیازات خود را به سطح SYSTEM ارتقاء دهد. برای این منظور باید فایلهایی که توسط فهرست کنترل دسترسیِ فایل سیستم محافظت میشوند، بازنویسی شوند.
کد بهرهبرداری که این فرد منتشر کرده بود بر روی ویندوز ۱۰ با معماری ۶۴ بیتی و ویندوز سرور ۲۰۱۶ به خوبی کار می کرد و اعلام شده بود احتمالا بر روی معماری ۳۲ بیتی نیز قابل اجرا است. شرکت مایکروسافت در حال بررسی این آسیبپذیری است ولی هنوز وصله یا راهحلی را برای برطرف کردن این آسیبپذیری منتشر نکرده است. احتمالا در حال حاضر که آسیبپذیری مورد بهرهبرداری قرار گرفته، زودتر از موعد بهروزرسانی و وصلهای را منتشر کند. با این حال انجمن متنباز ۰patch وصلهی غیررسمی را برای این آسیبپذیری منتشر کرده بود.
به گفتهی محققان امنیتی شرکت ایست، این آسیبپذیری ارتقاء امتیاز محلی توسط گروه نفوذی با نام PowerPool مورد بهرهبرداری قرار گرفته است. گزارشها حاکی از آن است که این بهرهبرداری تعداد کمی از کاربران واقع در ایالات متحده، انگلستان، آلمان، اوکراین، شیلی، هند، روسیه، فیلیپین و لهستان را هدف قرار داده است. این گروه نفوذ کد منبعِ بهرهبرداری که عمومی منتشر شده بود را دستکاری کرده و تغییر داده و نسخهی ویژهی خود را کامپایل کرده است.
محققان اعلام کردند نفوذگران برای بازنویسی فایل C:\Program Files(x86)\Google\Update\GoogleUpdate.exe که بهروزرسانیکنندهی قانونی برنامههای گوگل است، از این آسیبپذیری بهرهبرداری کردهاند. این برنامه بهطور متناوب و با دسترسیهای مدیریتی بر روی ویندوز اجرا میشود و مهاجم با بازنویسی آن با بدافزار مورد نظر خود، میتواند اهداف مخرب را با امتیازات بالا بر روی سیستم قربانی اجرا کند.
بدافزار مرحلهی اول توسط این گروه نفوذ در قالب هرزنامه با ضمیمههایی از نوع .lnk بر روی سیستم قربانی قرار میگیرد که سازوکار ماندگاری بر روی سیستم را برای نفوذگران فراهم میکند. اگر سیستم مورد نظر، همان سیستم مطلوبی باشد که مهاجمان دنبال آن هستند، در ادامه بار دادهی مرحلهی بعدی دریافت و نصب میشود. بار دادهی مخربِ مرحلهی دوم قابلیت اجرای دستورات، بارگذاری و بارگیری فایلها، خاتمه دادن به پردازهها و فهرست کردن پوشهها را دارا میباشد. بار دادهی مرحلهی دوم برخی از ابزارهای متنباز را دریافت میکند که از جملهی آنها میتوان SMBExec، Quarks PwDump و FireMaster را نام برد.