Киберпреступники PowerPool уже используют слитую в Сеть 0-day брешь

Киберпреступники PowerPool уже используют слитую в Сеть 0-day брешь

Киберпреступная группа «PowerPool» (по классификации ESET) использует 0-day уязвимость в Windows для повышения привилегий своего бэкдора в зараженных системах. Баг известен с 27 августа, о нем сообщил в Twitter исследователь под псевдонимом SandboxEscaper.

Самое опасное в этом случае — Microsoft не получила информацию о наличии бреши до того, как сведения о проблеме слили в Сеть. Следовательно, у корпорации не было достаточного количества времени на устранение недостатка.

Более того, опубликован был даже рабочий эксплойт и его исходный код. Судя по твиту SandboxEscaper, его разозлила политика компании относительно сообщений об уязвимостях и вознаграждений за найденные бреши.

Другие эксперты в области кибербезопасности быстро подтвердили наличие проблемы безопасности, которая затрагивает планировщик задач и связана с обработкой ALPC (Advanced Local Procedure Call).

Опубликованный эксплойт оказался полностью рабочим, с его помощью можно было атаковать 64-разядные версии Windows 10 и Windows Server 2016. Его также можно было адаптировать для атак и 32-разрядных систем.

Сама Microsoft инициировала процесс расследования утечки сведений о столь серьезной проблеме.

Теперь исследователи антивирусной компании ESET сообщают, что киберпреступники из группы PowerPool уже взяли этот эксплойт и брешь на вооружение. Согласно полученной от экспертов информации, злоумышленники атаковали незначительное количество пользователей в Соединенных Штатах, Великобритании, Германии, Украине, Чили, Индии, России, на Филиппинах и в Польше.

В ESET утверждают, что киберпреступная группа немного изменила уже готовый эксплойт, подстроив его под свои нужды. В частности, злоумышленники использовали недостаток для перезаписывания файла C:\Program Files(x86)\Google\Update\GoogleUpdate.exe.

Это позволило им получить повышенные привилегии в системе, которые по умолчанию имеет этот легитимный компонент обновления от Google.

ESET полагает, что PowerPool начинает свою атаку с вредоносных электронных писем, которые доставляют бэкдор на компьютеры пользователей.

На прошлой неделе мы сообщали о новой 0-day уязвимости в Windows, которая позволит злоумышленнику повысить свои привилегии в системе. Согласно опубликованной информации, PoC-код эксплойта этой бреши какое-то время был размещен на GitHub.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Обновления Windows 10 не дают откатить ОС на точку восстановления

Microsoft подтвердила наличие очередной проблемы с обновлениями, выпущенными для систем Windows 10. На этот раз апдейты не позволяют «откатить» ОС на точку восстановления, созданную до установки патчей.

Эта проблема затрагивает все компьютеры на Windows 10, на которых включена функция защиты, а также где создавалась точка восстановления до установки одного или нескольких обновлений.

Если пользователь попытается восстановить систему Wnidows 10 после того, как на нее были установлены обновления, компьютер выдаст синий экран смерти с кодом 0xc000021a. После перезагрузки система и вовсе откажется загружаться — пользователи будут не в состоянии попасть на рабочий стол.

Microsoft известно о данном баге, корпорация даже опубликовала специальный документ, в котором объясняется причина появления этой ошибки.

«В процессе восстановления системы Windows фиксирует используемые файлы, а затем сохраняет информацию в реестре. После перезагрузки компьютера операционная система завершает операцию восстановления».

«В этом случае Windows планирует восстановление файлов .sys после перезагрузки. Однако когда компьютер перезагружается, Windows загружает существующие драйверы до того, как восстанавливает их последние версии. Поскольку версии драйверов не совпадают с версиями восстанавливаемых файлов, весь процесс останавливается и выдает ошибку».

Micosoft предоставила инструкцию, которая поможет пользователям восстановить операционную систему.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru