先週、あるセキュリティ研究者がWindowsのゼロデイ脆弱性を概念実証(PoC)とともにTwitterで公開しました。当然のことながら、数日後、悪意のある攻撃者がこのバグを悪用し、攻撃を仕掛けました。
Windowsのタスクスケジューラを悪用する
Twitter ユーザーの SandboxEscaper は、Windows 7 および Windows 10 タスク スケジューラの Advanced Local Procedure Call (ALPC) インターフェイスにバグがあることを明らかにしました。このバグにより、悪意のある実行ファイルが制限された Windows ユーザー アカウントで起動された場合でも、攻撃者が管理者権限を取得できる可能性があります。
SandboxEscaper はバグの開示と同時に PoC ソース コードもリリースしました。つまり、誰でもそのコードを変更して再利用し、ウイルス対策スキャンなどのセキュリティ保護を回避できる Windows マシンに対する大規模な攻撃を実行できることになります。
PowerPoolが被害者のPCに感染する仕組み
PowerPoolと呼ばれるグループは、オリジナルのPoCソースコードを改変し、再コンパイルした後、Google Chromeの自動更新実行ファイルを自身の悪意あるファイルに置き換え、被害者のマシンでSYSTEM権限を取得しました。このマルウェアは、コマンドの実行、プロセスの強制終了、ファイルのアップロードとダウンロード、フォルダの一覧表示などの操作を実行できます。
感染の初期段階は、被害者に送られた電子メール内の悪意のある添付ファイルによって開始され、PowerTool グループは、被害者の PC のスクリーンショットを撮るなど、いくつかの基本的なデータ収集も実行できるようになります。
まだパッチを待っている
マイクロソフトは、SandboxEscaper による最初のバグ公開に不意を突かれたようで、9 月 11 日の次の「Update Tuesday」でパッチをリリースすると発表しました。
CERT/CC はこの攻撃に対する潜在的な緩和策をいくつか公開していますが、Microsoft はそれを正式に承認していません。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
