{"id":208789,"date":"2018-09-06T00:07:00","date_gmt":"2018-09-05T22:07:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=208789"},"modified":"2022-10-12T09:47:10","modified_gmt":"2022-10-12T07:47:10","slug":"windows-alpc-0-day-lcke-wird-durch-malware-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/09\/06\/windows-alpc-0-day-lcke-wird-durch-malware-ausgenutzt\/","title":{"rendered":"Windows ALPC 0-day-L&uuml;cke wird durch Malware ausgenutzt"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Nun ist es also passiert: Die vor einigen Tagen bekannt gewordene ALPC 0-day-Schwachstelle im Task-Scheduler (Aufgabenplaner) wird durch Malware ausgenutzt. Hier ein paar Informationen. <\/p>\n<p><!--more--><\/p>\n<h2>Die Windows ALPC Zero-Day-Schwachstelle<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg06.met.vgwort.de\/na\/55737ab3316b4229a1d618475fc9079c\" width=\"1\" height=\"1\"\/>In Windows existiert eine ungepatchte Zero-Day-Schwachstelle (zero-day local privilege escalation vulnerability), \u00fcber die unprivilegierte Benutzer Rechte bis auf SYSTEM-Ebene ausweiten k\u00f6nnen. Ein Nutzer, der sp\u00e4ter sein Twitter-Konto l\u00f6schte, hatte die Schwachstelle im Task-Scheduler ver\u00f6ffentlicht und ein Exploit auf Github eingestellt:<\/p>\n<blockquote>\n<p>Here is the alpc bug as 0day: <a href=\"https:\/\/t.co\/m1T3wDSvPX\">https:\/\/t.co\/m1T3wDSvPX<\/a> I don't fucking care about life anymore. Neither do I ever again want to submit to MSFT anyway. Fuck all of this shit.  <\/p>\n<p>\u2014 SandboxEscaper (@SandboxEscaper) August 27, 2018<\/p>\n<\/blockquote>\n<p>Kevin Beaumont (@GossiTheDog) hat aber die Information in diesem Tweet zusammen gefasst:  <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">The account got pulled, but the PoC is at <a href=\"https:\/\/t.co\/JqX4ueHorZ\">https:\/\/t.co\/JqX4ueHorZ<\/a><\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) 28. August 2018<\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script>Die Zero-Day-Schwachstelle steckt im Task-Scheduler von Windows im ALPC-Interface. Das K\u00fcrzel ALPC steht f\u00fcr Advanced Local Procedure Call. Der Windows Task-Scheduler (Aufgabenplanung) enth\u00e4lt eine Schwachstelle in der Handhabung von ALPC-Aufrufen, die es einem lokalen Benutzer erm\u00f6glicht, SYSTEM-Privilegien zu erlangen. <\/p>\n<p>Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2018\/08\/28\/neue-windows-alpc-zero-day-schwachstelle-entdeckt\/\">Neue Windows ALPC Zero-Day-Schwachstelle entdeckt<\/a> \u00fcber diese Schwachstelle berichtet und Workarounds zum Entsch\u00e4rfen skizziert. Denn Microsoft wollte die Schwachstelle erst zum September 2018-Patchday schlie\u00dfen. Von 0patch gibt es einen 0-day-Patch, der die L\u00fccke ebenfalls schlie\u00dft (siehe <a href=\"https:\/\/borncity.com\/blog\/2018\/09\/01\/neues-zur-windows-alpc-zero-day-schwachstelle\/\">Neues zur Windows ALPC Zero-Day-Schwachstelle<\/a>).<\/p>\n<h2>Angriff auf die 0-day-Schwachstelle<\/h2>\n<p>Bleeping Computer berichtet nun <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/windows-task-scheduler-zero-day-exploited-by-malware\/\" target=\"_blank\" rel=\"noopener\">hier<\/a>, dass die 0-day-Schwachstelle durch Malware ausgenutzt werde. Bereits wenige Tage nachdem der Exploit-Code verf\u00fcgbar war (Quellcode und Bin\u00e4rcode), bemerkten Malware-Forscher bei ESET einen Einsatz in aktiven b\u00f6sartigen Kampagnen. Diesen ging von einem Bedrohungsakteur aus, den ESET als PowerPool bezeichnen. Der Akteur verwendet gerne Tools, die haupts\u00e4chlich in PowerShell geschrieben wurden.<\/p>\n<p>PowerPool zielt auf <em>GoogleUpdate.exe<\/em>, wobei es gegenw\u00e4rtig in den L\u00e4ndern Chile, Deutschland, Indien, die Philippinen, Polen, Russland, das Vereinigte K\u00f6nigreich, die Vereinigten Staaten und Ukraine bisher nur eine geringe Anzahl von Opfern gibt. Die ESET-Sicherheitsforscher sagen, dass die PowerPool-Entwickler die bin\u00e4re Version des ALPC-Exploits nicht verwenden. Stattdessen haben sie sich f\u00fcr einen andere Weg entschieden. Sie haben einige subtile \u00c4nderungen am Quellcode des Exploits vorgenommen und das Ganze neu kompiliert.<\/p>\n<p>\"Die Entwickler von PowerPool haben sich daf\u00fcr entschieden, den Inhalt der Datei C:\\Program Files (x86)\\Google\\Update\\GoogleUpdate\\GoogleUpdate.exe zu \u00e4ndern. Dies ist der legitime Updater f\u00fcr Google-Anwendungen und wird regelm\u00e4\u00dfig von einer Microsoft-Windows-Aufgabe unter Administratorrechten ausgef\u00fchrt\", <a href=\"https:\/\/web.archive.org\/web\/20220908162629\/https:\/\/www.welivesecurity.com\/2018\/09\/05\/powerpool-malware-exploits-zero-day-vulnerability\/\" target=\"_blank\" rel=\"noopener\">schreibt ESET<\/a>.<\/p>\n<p>Die PowerPool-Gruppe verwendet verschiedene Ans\u00e4tze, um ein Opfer zun\u00e4chst zu kompromittieren. Der eine ist das Versenden von E-Mails mit der ersten Stufe ihrer Malware als Anhang. Dieser Anhang kann dann weitere Komponenten nachladen. ESET schreibt, dass die Telemetrie nur sehr wenige Vorkommnisse zeigt. Man gehe davon aus, dass die Empf\u00e4nger sorgf\u00e4ltig ausgew\u00e4hlt werden und PowerPool keine massive Spam-Kampagne durchf\u00fchrt. Details zur Malware und zum Angriff lassen sich <a href=\"https:\/\/web.archive.org\/web\/20220908162629\/https:\/\/www.welivesecurity.com\/2018\/09\/05\/powerpool-malware-exploits-zero-day-vulnerability\/\" target=\"_blank\" rel=\"noopener\">bei ESET nachlesen<\/a>. Ich gehe davon aus, dass die g\u00e4ngigen Virenscanner diesen Sch\u00e4dling bald erkennen und blocken. <\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/><\/strong><a href=\"https:\/\/borncity.com\/blog\/2018\/08\/28\/neue-windows-alpc-zero-day-schwachstelle-entdeckt\/\">Neue Windows ALPC Zero-Day-Schwachstelle entdeckt<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/09\/01\/neues-zur-windows-alpc-zero-day-schwachstelle\/\">Neues zur Windows ALPC Zero-Day-Schwachstelle<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nun ist es also passiert: Die vor einigen Tagen bekannt gewordene ALPC 0-day-Schwachstelle im Task-Scheduler (Aufgabenplaner) wird durch Malware ausgenutzt. Hier ein paar Informationen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[1018,1782,4325],"class_list":["post-208789","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-malware","tag-sicherheitslucke","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208789","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=208789"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208789\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=208789"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=208789"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=208789"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}