Criminosos começaram a usar o código prova-de-conceito para criar malwares que exploram a vulnerabilidade no Agendador de Tarefas do Windows. O primeiro deles é o malware PowerPool.
A vulnerabilidade afeta a interface Advanced Local Procedure Call (ALPC) do Agendador de Tarefas do Windows 7 até o Windows 10 e se for explorada com sucesso, ela pode permitir que o usuário local obtenha o nível de privilégio SYSTEM.
O problema específico está presente na função SchRpcSetSecurity, que não verifica corretamente as permissões do usuário e assim permite a gravação de conteúdo no diretório C:WindowsTask.
O código prova-de-conceito foi publicado no GitHub no dia 27 de agosto por um pesquisador de segurança que usa nome SandboxEscaper.
Malware PowerPool explora vulnerabilidade no Agendador de Tarefas do Windows
A ESET confirmou que o malware PowerPool foi detectado no Chile, Alemanha, Índia, Filipinas, Polônia, Rússia, Reino Unido, Estados Unidos e Ucrânia.
Os pesquisadores da empresa dizem que os criadores do malware não usaram a versão binária do exploit. Ao invés disso eles optaram por fazer algumas alterações no código-fonte antes de recompilá-lo.
Eles alteraram o conteúdo do arquivo C:Program Files (x86)GoogleUpdateGoogleUpdate.exe, que é usado para atualizar os aplicativos do Google no Windows e normalmente é executado com privilégios administrativos:
Isso permite que o malware PowerPool sobrescreva o executável original do Google com a cópia de um backdoor tipicamente usado no segundo estágio de seus ataques.
Quando o arquivo GoogleUpdate.exe é chamado novamente, o backdoor será executado com o nível de privilégio SYSTEM.
A ESET disse que os criadores do malware provavelmente usam o backdoor apenas nos computadores de vítimas “potencialmente interessantes” após um reconhecimento prévio.
A Microsoft ainda não disponibilizou uma correção para a vulnerabilidade, mas a empresa Acros Security disponibilizou uma correção temporária usando a ferramenta 0patch.
É importante destacar que a Microsoft NÃO RECOMENDA a instalação de correções não-oficiais oferecidas por terceiros.
O post Malware PowerPool explora vulnerabilidade no Agendador de Tarefas do Windows apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br