Nun ist es also passiert: Die vor einigen Tagen bekannt gewordene ALPC 0-day-Schwachstelle im Task-Scheduler (Aufgabenplaner) wird durch Malware ausgenutzt. Hier ein paar Informationen.
Anzeige
Die Windows ALPC Zero-Day-Schwachstelle
In Windows existiert eine ungepatchte Zero-Day-Schwachstelle (zero-day local privilege escalation vulnerability), über die unprivilegierte Benutzer Rechte bis auf SYSTEM-Ebene ausweiten können. Ein Nutzer, der später sein Twitter-Konto löschte, hatte die Schwachstelle im Task-Scheduler veröffentlicht und ein Exploit auf Github eingestellt:
Here is the alpc bug as 0day: https://t.co/m1T3wDSvPX I don't fucking care about life anymore. Neither do I ever again want to submit to MSFT anyway. Fuck all of this shit.
— SandboxEscaper (@SandboxEscaper) August 27, 2018
Kevin Beaumont (@GossiTheDog) hat aber die Information in diesem Tweet zusammen gefasst:
The account got pulled, but the PoC is at https://t.co/JqX4ueHorZ
— Kevin Beaumont (@GossiTheDog) 28. August 2018
Die Zero-Day-Schwachstelle steckt im Task-Scheduler von Windows im ALPC-Interface. Das Kürzel ALPC steht für Advanced Local Procedure Call. Der Windows Task-Scheduler (Aufgabenplanung) enthält eine Schwachstelle in der Handhabung von ALPC-Aufrufen, die es einem lokalen Benutzer ermöglicht, SYSTEM-Privilegien zu erlangen.
Ich hatte im Blog-Beitrag Neue Windows ALPC Zero-Day-Schwachstelle entdeckt über diese Schwachstelle berichtet und Workarounds zum Entschärfen skizziert. Denn Microsoft wollte die Schwachstelle erst zum September 2018-Patchday schließen. Von 0patch gibt es einen 0-day-Patch, der die Lücke ebenfalls schließt (siehe Neues zur Windows ALPC Zero-Day-Schwachstelle).
Anzeige
Angriff auf die 0-day-Schwachstelle
Bleeping Computer berichtet nun hier, dass die 0-day-Schwachstelle durch Malware ausgenutzt werde. Bereits wenige Tage nachdem der Exploit-Code verfügbar war (Quellcode und Binärcode), bemerkten Malware-Forscher bei ESET einen Einsatz in aktiven bösartigen Kampagnen. Diesen ging von einem Bedrohungsakteur aus, den ESET als PowerPool bezeichnen. Der Akteur verwendet gerne Tools, die hauptsächlich in PowerShell geschrieben wurden.
PowerPool zielt auf GoogleUpdate.exe, wobei es gegenwärtig in den Ländern Chile, Deutschland, Indien, die Philippinen, Polen, Russland, das Vereinigte Königreich, die Vereinigten Staaten und Ukraine bisher nur eine geringe Anzahl von Opfern gibt. Die ESET-Sicherheitsforscher sagen, dass die PowerPool-Entwickler die binäre Version des ALPC-Exploits nicht verwenden. Stattdessen haben sie sich für einen andere Weg entschieden. Sie haben einige subtile Änderungen am Quellcode des Exploits vorgenommen und das Ganze neu kompiliert.
"Die Entwickler von PowerPool haben sich dafür entschieden, den Inhalt der Datei C:\Program Files (x86)\Google\Update\GoogleUpdate\GoogleUpdate.exe zu ändern. Dies ist der legitime Updater für Google-Anwendungen und wird regelmäßig von einer Microsoft-Windows-Aufgabe unter Administratorrechten ausgeführt", schreibt ESET.
Die PowerPool-Gruppe verwendet verschiedene Ansätze, um ein Opfer zunächst zu kompromittieren. Der eine ist das Versenden von E-Mails mit der ersten Stufe ihrer Malware als Anhang. Dieser Anhang kann dann weitere Komponenten nachladen. ESET schreibt, dass die Telemetrie nur sehr wenige Vorkommnisse zeigt. Man gehe davon aus, dass die Empfänger sorgfältig ausgewählt werden und PowerPool keine massive Spam-Kampagne durchführt. Details zur Malware und zum Angriff lassen sich bei ESET nachlesen. Ich gehe davon aus, dass die gängigen Virenscanner diesen Schädling bald erkennen und blocken.
Ähnliche Artikel:
Neue Windows ALPC Zero-Day-Schwachstelle entdeckt
Neues zur Windows ALPC Zero-Day-Schwachstelle
Anzeige
"Die Entwickler von PowerPool haben sich dafür entschieden, den Inhalt der Datei C:\Program Files (x86)\Google\Update\GoogleUpdate\GoogleUpdate.exe zu ändern. […]"
Ernsthaft? Der Virus muss eine exe-Datei unter program files ändern um zuzuschlagen? Sprich, wenn der Virus volle Zugriffsrechte auf die Festplatte hat, dann, ja dann kann er da einen Virus einschleusen?
Sorry, aber wenn ein Virus dort Zugriffsrechte hat, dann hat er schon lange gewonnen.
Der springende Punkt ist ein anderer – die schieben eine GoogleUpdate.exe mit normalen Rechten auf die Maschine, in der Hoffnung, dass die ausgeführt wird. Dann bewirkt die ALPC-Lücke, dass die SYSTEM-Rechte erreicht werden können und die Datei ausgetauscht wird. Damit ist der Schädling erst einmal getarnt. Zumindest mein Verständnis …
AFAIK lässt sich Google Chrome auch mit Benutzerrechten im Appdata\Roaming installieren (was dann gerne mal für große Profile und bei Roaming Profiles langsame Loginzeiten sorgt).
Das handhaben andere Anwendungen auch so, z. B. der Spotify-Client, der TeamSpeak-Client, Google Hangouts, Citrix Receiver und – auch wenn der Citrix-Receiver systemweit installiert wurde – vom Benutzer hinzugefügte Citrix-Anwendungen (die als EXE im Appdata\Roaming aufgerufen werden).
Und wenn die Ausführung von Dateien im Appdata (Local und Roaming) nicht blockiert wird, kann sich da auch mit Benutzerrechten ausgeführte Malware einnisten.
AUTSCH!
Wenn ihr diesen trivialen Angriff nicht versteht: hört auf zu spekulieren und Blödsinn zu schreiben!
Dank der Lücke können unprivilegierte Benutzer die Zugriffsrechte von "C:\Program Files (x86)\Google\Update\GoogleUpdate\GoogleUpdate.exe" ändern, sie erlangen Schreibzugriff!
Wehret den Anfängern!
Nochmal für Doofe… sind die ACLs nach der Installation so gesetzt, dass Mitglieder der lokalen Gruppe "Benutzer" Schreibzugriff auf das Verzeichnis und die EXE des Updaters in %programfiles(x86)% bzw %programfiles% haben? Oder reden wir wirklich nur über die mit Nicht-Admin-Rechten installierten Chromes im %appdata%?
WEDER NOCH! tertium datur: der Angreifer lässt den Task-Scheduler die Zugriffsrechte der mit ihrem vollqualifizierten Pfad genannten Datei ändern und überschreibt sie dann mit (s)einem Schädling. Dieser wird vom bei der Installation von Chrome eingerichteten, unter Administrator laufenden Task irgendwann später ausgeführt.
JFTR: und wenn der Angreifer keinen installierten Chrome findet, dann wendet der sich dem Updater von Mozilla, Adobe, Skype, iTunes, Cisco, … zu.