先週初めに明らかになった Windows ALPC のセキュリティホールは、ハッカーが PC を完全に制御するために積極的に悪用しているにもかかわらず、未だに修正されていません。
8月末にお伝えしたように、現在は削除されているTwitterアカウント「SandboxEscaper」の背後にいる人物が、Windows 7からWindows 10までの全バージョンのWindows Advanced Local Procedure Call(ALPC)に存在する、システムレベルの権限昇格を許すゼロデイ脆弱性を公表しました。SandboxEscaperは、このプログラミングミスを悪用したサンプルコードも公開しました。これは、侵入先のコンピュータを完全に乗っ取るために悪意のある人物が利用できる手法です。
現在、ESETのマシュー・ファウ氏は水曜日、PowerPoolと呼ばれる悪意のある集団がこのバグを積極的に悪用し、乗っ取ったユーザーアカウントから、すでに侵入したWindowsボックスの完全なシステム管理者レベルの制御に移行していることを明らかにした。
「予想通り、PowerPool と名付けたグループによる悪意ある攻撃でこの脆弱性が利用されていることを初めて確認するまでに、わずか 2 日しかかかりませんでした」と Faou 氏は述べた。
これまでのところ、被害者は少数だと伝えられている。ESETの推計によると、このグループはチリ、ドイツ、インド、フィリピン、ポーランド、ロシア、イギリス、アメリカ、ウクライナを標的にしているという。
ファウ氏の記述によると、PowerPool の攻撃者は SandboxEscaper の概念実証ソースコードを変更して再コンパイルし、それを使用して侵入先のマシン上の GoogleUpdate.exe (Google のソフトウェア アップデータ) を置き換え、次にそれが自動的に実行されるときに第 2 段階によって上書きされ、ALPC のセキュリティホールを介してシステムレベルの権限を取得するという。
その後、悪意のあるコードは「偵察」用のバックドアを開き、スクリーンショットを撮影してコマンド&コントロールサーバーに送信します。Faou氏が「明らかに最先端のバックドアではない」と表現した第二段階のバックドアも開き、マスターからの任意のコマンドの実行、プロセスの強制終了、ファイルのアップロードとダウンロード、フォルダの内容の一覧表示が可能になります。
犯罪者はまた、セキュリティ アカウント マネージャーからユーザー名とログイン ハッシュを取得するための PowerShell ツール、PowerSploit と呼ばれるエクスプロイト後のフレームワーク、SMB 接続を実行するための SMBExec、Windows 資格情報を取得するための Quarks PwDump、および Outlook と Web ブラウザーによって保存されたパスワードを取得する実行可能ファイル FireMaster を展開します。
Windowsのゼロデイ脆弱性が突如出現Twitter
続きを読む
マルウェア対策ツールメーカー Barkly の Jonathan Crowe 氏は、オリジナルのエクスプロイト サンプル コードが実行する手順について説明しました。このコードでは、一般ユーザーが実行できるタスクが作成されますが、これは通常のファイルではなく、システム レベルのユーザーのみが変更または置換できるはずのUpdateTask.jobなどのシステム ファイルへのハード リンクです。PrintConfig.dll
タスク スケジューラは、誰でも変更できるようSchRpcSetSecurityに権限を変更するために呼び出されますUpdateTask.jobが、これによって「リンク先のファイルの権限が実際に変更されPrintConfig.dll、ユーザーが変更可能になる」と言われています。
サンプルのエクスプロイトでは、これを使用してPrintConfig.dllメモ帳を起動する DLL に置き換え、印刷スプーラー サービスをPrintConfig.dll「独自のローカル システム ID を使用して」実行するようにトリガーしました。
良いニュースとしては、Microsoft からのパッチがない場合でも、ウイルス対策ソフトが攻撃を監視していなくても、緩和策が利用できるということです。
クロウ氏は、Clever ITのカーステン・ニルセン氏とGoogle Project Zeroの研究者ジェームズ・フォーショー氏が、このバグを解消するためにアクセス制御の使用を提案していると述べた。彼らの解決策は、ディレクトリへの書き込みを禁止することだC:\Windows\Tasks。
英国の情報セキュリティの権威ケビン・ボーモント氏も、エクスプロイトの試みを検知するルールの導入方法について書いています。0patch にもこのバグに対するマイクロパッチがあります。®
