Windowsのタスクスケジューラのゼロデイ脆弱性、攻撃が確認

2018年9月8日 23:20

小

中

大

印刷

記事提供元:スラド

先日公表されたWindowsのタスクスケジューラに存在するゼロデイ脆弱性を狙う攻撃が確認された(WeLiveSecurityの記事BetaNewsの記事The Registerの記事)。

この脆弱性はタスクスケジューラによるAdvanced Local Procedure Call(ALPC)の処理に存在し、管理者権限がなくても「C:\Windows\Tasks」に任意のファイルのハードリンクを作成してDACLを変更し、元のファイルを置き換えることが可能になるというものだ。攻撃者は高い権限で自動実行されるファイルを置き換えることで、ローカルでの権限昇格が可能だ。

ローカルでの権限昇格なので、Webサイトから直接攻撃するといったことはできないが、メールでエクスプロイトを送り付け、ユーザーをだまして実行させれば脆弱性を悪用した攻撃が可能となる。ESETが発見した攻撃はPowerPoolというグループによるものだ。大規模なスパムキャンペーンではなく、攻撃相手を厳選しているものとみられ、被害件数は少ないようだ。攻撃対象国にはチリ、ドイツ、インド、フィリピン、ポーランド、ロシア、英国、米国、ウクライナが含まれるとのこと。

PowerPoolでは脆弱性公表者がGitHubで公開(現在は削除)していたエクスプロイトのソースコードを改造し、Google製アプリケーションの更新に使われるGoogleUpdate.exeをマルウェアに置き換えている。攻撃は被害者のPCが情報収集に値するかどうかを調べてC&Cサーバーに送るバックドア第1段と、第1段の結果によって送り込まれるバックドア第2段の二段構えになっており、バックドア第2段はさまざまなオープンソースツールを利用して被害者のPCからパスワードなどを盗み出すとのことだ。

 スラドのコメントを読む | セキュリティセクション | セキュリティ | スラッシュバック | Windows

 関連ストーリー:
Windowsのタスクスケジューラのゼロデイ脆弱性が公表される 2018年08月30日

※この記事はスラドから提供を受けて配信しています。

関連キーワード脆弱性マルウェアWindowsバックドアGitHubオープンソース

「セキュリティ・プライバシー」の写真ニュース

IT・サイエンスの最新ニュース

RSS

もっと見る

主要ニュース

RSS

もっと見る

広告

広告

SNSツール

RSS

facebook

zaikeishimbun

いいね!

twitter

@zaikei_it

フォロー

google+

Hatena

広告

ピックアップ 注目ニュース