Cerca nel blog

lunedì 10 settembre 2018

NOTA STAMPA: PowerPool, il malware che sfrutta la vulnerabilità zero-day di Windows ALPC



Il nuovo gruppo di criminali dietro PowerPool ha rilasciato un malware che sfrutta una vulnerabilità zero-day scoperta da soli due giorni

 

Roma, 10 settembre 2018 – Il 27 Agosto 2018 una vulnerabilità zero-day scoperta sui sistemi Microsoft Windows è stata pubblicata su GitHub e ulteriormente pubblicizzata su Twitter, senza che fosse stata ancora rilasciata la patch per correggere la vulnerabilità. Questa falla interessa i sistemi operativi Microsoft Windows da Windows 7 a Windows 10 e, in particolare, la funzione ALPC - Advanced Local Procedure Call - consentendo l'escalation dei privilegi locali (LPE). In questo caso specifico, l'LPE permette a un eseguibile lanciato da un utente con restrizioni di ottenere i diritti amministrativi. Il tweet conteneva un collegamento a un repository GitHub che indicava il codice Proof-of-Concept per l'exploit. Non solo è stata rilasciata una versione compilata, ma addirittura anche il codice sorgente. Di conseguenza, chiunque poteva modificare e ricompilare l'exploit, al fine di "migliorarlo", eludere il rilevamento o anche incorporarlo nel proprio codice.

Come si poteva prevedere, sono bastati solo due giorni prima di identificare l'uso di questo exploit in una campagna malevola da un gruppo di cybercriminali, chiamato dai ricercatori di ESET PowerPool. Questo gruppo ha colpito un ristretto numero di vittime e, in base alla telemetria di ESET e agli upload su VirusTotal, i paesi presi di mira includono Cile, Germania, India, Filippine, Polonia, Russia, Regno Unito, Stati Uniti e Ucraina.

Il gruppo PowerPool utilizza diversi approcci per colpire inizialmente una vittima. Uno è quello di inviare email con il malware come allegato. Potrebbe essere troppo presto per dirlo, ma fino ad oggi sono stati rilevati pochissimi eventi nella telemetria di ESET, quindi i destinatari potrebbero essere stati scelti con cura.

Per sfruttare l'exploit, è necessario prendere di mira un file che viene eseguito automaticamente dal sistema operativo, per esempio un eseguibile che si occupa di aggiornare un programma installato in precedenza. Gli sviluppatori di PowerPool hanno scelto di modificare il contenuto del file GoogleUpdate.exe, programma di aggiornamento legittimo per le applicazioni di Google che è regolarmente eseguito con privilegi amministrativi da un'attività di Microsoft Windows.

PowerPool impiega principalmente due backdoor diverse: una backdoor di primo livello utilizzata subito dopo l'inziale compromissione e successivamente una di secondo livello, probabilmente attivata solo sulle macchine reputate più interessanti.

Una volta che gli operatori PowerPool ottengono l'accesso permanente a una macchina con la backdoor di secondo livello, utilizzano diversi strumenti open source, scritti principalmente in PowerShell, per spostarsi lateralmente sulla rete.

Secondo i ricercatori di ESET, diffondere informazioni su una vulnerabilità al di fuori di un processo di divulgazione ufficialmente coordinato mette a rischio molti utenti. In questo caso, anche la versione più aggiornata di Windows potrebbe essere compromessa poiché, come in questo caso, al momento della pubblicazione di dettagli sulla vulnerabilità e sull'exploit non era stata ancora rilasciata alcuna patch ufficiale. Il CERT-CC ha fornito alcune soluzioni, ma Microsoft non le ha approvate ufficialmente.

Per informazioni sull'analisi tecnica di PowerPool è possibile visitare il blog di ESET Italia al seguente link:

https://blog.eset.it/2018/09/scoperto-il-malware-di-powerpool-che-sfrutta-la-vulnerabilita-zero-day-alpc-lpe/

 



Elisabetta Giuliano
Communication Consultant
Mobile: + 39 3289092482

Nessun commento:

Posta un commento

Tutte le news della Rete le trovi sul:


Giornale online realizzato da una redazione virtuale composta da giornalisti e addetti stampa, professionisti di marketing, comunicazione, PR, opinionisti e bloggers. Il CorrieredelWeb.it vuole promuovere relazioni tra tutti i comunicatori e sviluppare in pieno le potenzialità della Rete per una comunicazione democratica e partecipata.

Disclaimer

www.CorrieredelWeb.it e' un periodico telematico senza scopi di lucro, i cui contenuti vengono prodotti al di fuori delle tradizionali industrie dell'editoria o dell'intrattenimento, coinvolgendo ogni settore della Societa' dell'Informazione, fino a giungere agli stessi utilizzatori di Internet, che divengono contemporaneamente produttori e fruitori delle informazioni diffuse in Rete. In questo la testata ambisce ad essere una piena espressione dell'Art. 21 della Costituzione Italiana.

Pur essendo normalmente aggiornato piu' volte quotidianamente, CorrieredelWeb.it non ha una periodicita' predefinita e non puo' quindi considerarsi un prodotto editoriale ai sensi della legge n.62 del 7.03.2001.

L'Autore non ha alcuna responsabilita' per quanto riguarda qualità e correttezza dei contenuti inseriti da terze persone. L'Autore si riserva, tuttavia, la facolta' di rimuovere quanto ritenuto offensivo, lesivo o contraro al buon costume.

Le immagini e foto pubblicate sono in larga parte strettamente collegate agli argomenti e alle istituzioni o imprese di cui si scrive. Alcune fotografie possono provenire da Internet, e quindi essere state valutate di pubblico dominio. Eventuali detentori dei diritti d'autore non avranno che da segnalarlo via email alla redazione, che provvedera' all'immediata rimozione o citazione della fonte, a seconda di quanto richiesto.

Viceversa, sostenendo una politica volta alla libera circolazione di ogni informazione e divulgazione della conoscenza, ogni articolo pubblicato sul CorrieredelWeb.it, pur tutelato dal diritto d'autore, può essere ripubblicato citando la legittima fonte e questa testata secondo quanto previsto dalla licenza Creative Common.

Questa opera è pubblicata sotto una Licenza Creative Commons Creative Commons License

CorrieredelWeb.it è un'iniziativa del Cav. Andrea Pietrarota, Sociologo della Comunicazione, Public Reporter, e Giornalista Pubblicista

indirizzo skype: apietrarota