関連記事
Windowsのタスクスケジューラのゼロデイ脆弱性、攻撃が確認
先日公表されたWindowsのタスクスケジューラに存在するゼロデイ脆弱性を狙う攻撃が確認された(WeLiveSecurityの記事、BetaNewsの記事、The Registerの記事)。
この脆弱性はタスクスケジューラによるAdvanced Local Procedure Call(ALPC)の処理に存在し、管理者権限がなくても「C:\Windows\Tasks」に任意のファイルのハードリンクを作成してDACLを変更し、元のファイルを置き換えることが可能になるというものだ。攻撃者は高い権限で自動実行されるファイルを置き換えることで、ローカルでの権限昇格が可能だ。
ローカルでの権限昇格なので、Webサイトから直接攻撃するといったことはできないが、メールでエクスプロイトを送り付け、ユーザーをだまして実行させれば脆弱性を悪用した攻撃が可能となる。ESETが発見した攻撃はPowerPoolというグループによるものだ。大規模なスパムキャンペーンではなく、攻撃相手を厳選しているものとみられ、被害件数は少ないようだ。攻撃対象国にはチリ、ドイツ、インド、フィリピン、ポーランド、ロシア、英国、米国、ウクライナが含まれるとのこと。
PowerPoolでは脆弱性公表者がGitHubで公開(現在は削除)していたエクスプロイトのソースコードを改造し、Google製アプリケーションの更新に使われるGoogleUpdate.exeをマルウェアに置き換えている。攻撃は被害者のPCが情報収集に値するかどうかを調べてC&Cサーバーに送るバックドア第1段と、第1段の結果によって送り込まれるバックドア第2段の二段構えになっており、バックドア第2段はさまざまなオープンソースツールを利用して被害者のPCからパスワードなどを盗み出すとのことだ。
スラドのコメントを読む | セキュリティセクション | セキュリティ | スラッシュバック | Windows
関連ストーリー:
Windowsのタスクスケジューラのゼロデイ脆弱性が公表される 2018年08月30日
※この記事はスラドから提供を受けて配信しています。
スポンサードリンク
スポンサードリンク
- 英警察のサブドメイン、海賊版ストリーミングに悪用される 1/29 10:26
- Microsoft、重大なサイバーセキュリティインシデントを米証券取引委員会に報告 1/24 09:07
- 北京市司法局、AirDropによる違法文書配布者を特定可能に 1/17 16:04
- YouTube経由で広がるマルウェアが増加 1/16 17:11
- GoogleとBingが有名人の顔合成したポルノ動画へのアクセス容易にとの指摘 1/15 17:50