PowerPool以GoogleUpdate.exe为攻击目标

恶意软件开发人员已经开始在Windows中使用零日攻击用于任务计划程序组件，两天后该漏洞的概念验证代码出现在网上。

在8月27日，使用在线名称SandboxEscaper的安全研究人员发布了用于利用Windows任务计划程序使用的高级本地过程调用（ALPC）界面中的安全错误的源代码。

更具体地说，问题在于SchRpcSetSecurity API函数，该函数无法正确检查用户的权限，允许对C：\ Windows \ Task中的文件具有读写权限。

该漏洞影响Windows 7到10版本，攻击者可以使用该漏洞将其权限升级到所有访问SYSTEM帐户级别。

在漏洞利用代码可用（源代码和二进制代码）几天后，ESET的恶意软件研究人员注意到它在一个名为PowerPool的威胁行为者的主动恶意活动中的使用，因为他们倾向于使用大多数用PowerShell编写的工具进行横向移动。

PowerPool以GoogleUpdate.exe为目标

该组似乎在以下国家中有少数受害者：智利，德国，印度，菲律宾，波兰，俄罗斯，英国，美国和乌克兰。

研究人员表示，PowerPool开发人员没有使用被漏洞利用的二进制版本，而是决定在重新编译之前对源代码进行一些细微的更改。

“PowerPool的开发人员选择更改文件C：\ Program Files（x86）\ Google \ Update \ GoogleUpdate.exe的内容。这是Google应用程序的合法更新程序，并且通常由Microsoft Windows任务在管理权限下运行，” ESET解释道。

这允许PowerPool用他们通常在攻击的第二阶段使用的后门副本覆盖Google updater可执行文件。下次调用更新程序时，后门将以SYSTEM权限启动。

根据研究人员的说法，PowerPool恶意软件运营商可能会在侦察步骤之后仅对感兴趣的受害者使用第二阶段后门。

微软今天没有修补ALPC错误，但预计将在9月11日的月度安全更新中发布修复程序。

尽管该公司不批准，但在没有微软帮助的情况下可以进行一些缓解。Karsten Nilsen提供的解决方案阻止了漏洞并允许计划任务运行，但它可能会破坏旧版任务计划程序界面创建的内容。

VU上的短期解决方案＃906424： icacls c：\ windows \ tasks / remove：g“Authenticated Users” icacls c：\ windows \ tasks / deny system：（OI）（CI）（WD，WDAC）经过 测试并阻止0day，更改这些权限可能会导致计划任务中出现意外行为。@USCERT_gov - Karsten Nilsen（@karsten_nilsen）2018年8月28日

64位Windows 10（版本1803）的用户可以通过应用微量调整来缓解此问题。该修复是临时的，需要从Acros Security安装0patch代理。

该公司在下面的推文中提供了微片的源代码：

博客文章正在制作中，但对于不耐烦的用户，这是我们的微调的源代码。三个补丁，一个调用RpcImpersonateClient，一个删除对RpcRevertToSelf的过早调用，另一个调用RpcRevertToSelf调用。只需4条说明。pic.twitter.com/PtgsPJiiSO - 0patch（@ 0patch）2018年8月30日