rssyoutubefg

יומיים לאחר פרסום פירצת zero-day היא נמצאת כבר בשימוש בנוזקות

עודכן לאחרונה: 12.09.18

פירצת zero-day ב Windows שפורסמה פומבית נמצאת בשימוש בנוזקה רק יומיים לאחר מכן.
חוקרי ESET הם הראשונים שגילו את השימוש בפירצה in the wild והוציאו זיהויים לנוזקה.
מיקרוסופט תוציא עדכון שיתקן את הפירצה רק ב 11 לספטמבר.
לקוחות ESET ביתיים ועסקיים עם העדכון האחרון מוגנים בפני הנוזקה כבר עכשיו.

עדכון 12.09.18:
מיקרוסופט שחררה אתמול את עדכון האבטחה של ספטמבר, בו כלול גם התיקון לפירצה, שמסומנת בזיהוי CVE-218-8440.
העדכון זמין עבור מערכת הפעלה Windows 10 בגרסאות 1703 ו- 1803 ועבור windows 7, 8.1.

ב 27 לאוגוסט פירסמה חוקרת אבטחת מידע פירצה ב Windows בציוץ בטוויטר וקישרה לעמוד ה GitHub שלה, בו הקוד היה זמין לכל.

powerpool1

המהלך לא נעשה בצורה אחראית של פניה מסודרת לחברת מיקרוסופט והמתנה לשחרור של תיקון (patch) לפני פרסום של הפירצה בפומבי, ולכן עדיין לא שוחרר תיקון של מיקרוסופט (התיקון צפוי לצאת ביום שלישי הקרוב, ה 11 לספטמבר).

הפירצה שגילתה במערכת ה ALPC (Advanced Local Procedure Call) שמשפיעה על מערכות הפעלה Windows בגרסאות 7, 8, ו- 10, מאפשרת לתוקף לבצע העלאה מקומית של הרשאות (Local Privilege Escalation) כדי לקבל הרשאות של מנהל מקומי באמצעות קובץ הפעלה או תהליך.
הציוץ של החוקרת שמכנה את עצמה SandboxEscaper קישר לעמוד ה GitHub שלה שבו פרסמה הוכחת היתכנות (Proof-Of-Concept) של הפירצה. היא הרחיקה לכת ולא פירסמה רק גרסה מקומפלת אלא גם את קוד המקור. כתוצאה מכך כל אחד יכול להשתמש בקוד המקור, לשנות אותו, ולקמפל אותו כך שיחמוק מזיהוי של מוצרי אבטחה. ניתן גם לשלב את הקוד עם קוד קיים בתוכנות אחרות.
היא גם צירפה לקוד הסבר של מה שהוא עושה:

powerpool2

הפירצה בעצם מאפשרת לתוקף לשנות את ההרשאות של קבצים שנמצאים בתיקיה c:\windows\tasks גם באמצעות הרשאות משתמש שאינו מנהל, ואפילו משתמש עם רמת הרשאות של אורח (guest). בדוגמא שהיא נתנה הקוד כותב מחדש דרייבר של המדפסת, אבל ניתן לשנות בקלות את הקוד לבצע שלל של פעולות אחרות שיאפשרו לתוקף לסכן את המערכת.
כך יכול תוקף לכתוב מחדש קבצים שיופעלו בצורה אוטומטית באמצעות המתזמן של Windows, עם הרשאות מנהל מקומי.
זה לקח רק יומיים עד שזיהינו שימוש בפירצה בקוד זדוני על ידי קבוצה שאנחנו מכנים PowerPool. לפי המידע שבידינו לקבוצה מספר קורבנות קטן יחסית, כנראה משום שהיא בוחרת אותם בקפידה ולא מפיצה את ההתקפה בצורה מאסיבית.
כצפוי, המפתחים בקבוצה PowerPool לא השתמשו בקובץ הבינארי המקומפל שפורסם, אלא שינו את קוד המקור וקימפלו אותו מחדש. הם בחרו לשנות את התוכן של קובץ שקיים אצל מרבית המשתמשים של Windows:
C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
מדובר בקובץ לגיטימי שמעדכן תוכנות של Google כמו הדפדפן כרום, והוא מופעל אוטומטית עם הרשאות מנהל על ידי מטלה מתוזמנת של Windows.

powerpool3

הקבוצה משתמשת בעיקר באימיילים עם קובץ מצורף בשלב התקיפה הראשוני, ומשתמשת במספר רב של כלי פריצה בקוד פתוח, שמשולבים בסקריפטים מסוג PowerShell, דרך פעולה מאוד פופולרית בקרב כותבי נוזקות במהלך השנים האחרונות.
ניתן להניח בוודאות שקבוצות תקיפה נוספות ישתמשו בפירצה במהלך החודשים הקרובים וישלבו אותה בכלי הפריצה והנוזקות שלהן.


לקוחות ESET עם מוצרים ביתיים או עסקיים מוגנים מכלי ההתקפה של PowerPool, ומזהים אותם בשמות:

Win32/Agent.SZS
Win32/Agent.TCH
Win32/Agent.TEL
Win32/Agent.THT
Win32/Agent.TDK
Win32/Agent.TIA
Win32/Agent.TID

חשוב לוודא שהמוצר שמותקן אצלכם מעודכן כך שידע לזהות את הנוזקה שעושה שימוש בפירצה.

ניתן לבדוק בקישור הבא שמוצרי ESET מכילים את העדכונים האחרונים.

ניתן למצוא מידע נוסף על הפירצה ועל כלי התקיפה של הקבוצה PowerPool באתר העולמי של ESET.

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2018, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום