Resa pubblica vulnerabilità 0day su Windows 10 64bit

28/08/2018

0day Vulnerabilità windows
 
Nella giornata di ieri un ricercatore di sicurezza, noto su twitter con account @SandboxEscaper, ha rivelato dettagli in merito ad una ipotetica vulnerabilità di tipo zero day su ambienti Windows che consentirebbe ad un utente locale o applicazione malevola di scalare i privilegi da locale fino a privilegi system.
 
La vulnerabilità è stata successivamente confermata da più parti, in particolare, Phil Dormann, analista del CERT/CC, ha pubblicamente confermato che il Proof-of-Concept reso pubblico sulla piattaforma GitHub funziona correttamente su ambiente MS Windows 10 64bit completamente aggiornato.
La componente vulnerabile è l’interfaccia Advanced Local Procedure Call, nota come ALPC e in uso da Microsoft Windows Task Scheduler, l’applicazione attraverso la quale è stato possibile sfruttare la vulnerabilità.
 
Microsoft è stata messa a conoscenza della problematica ma ancora non sono stati rilasciati aggiornamenti in merito. Contattata da The Register ha risposto di star a lavorare alla problematica.
 
Si consiglia di prestare attenzione ai messaggi di phishing che potrebbero arrivare in queste ore al fine di indurre l’utente ad eseguire una applicazione malevola che sfrutti la vulnerabilità non ancora patchata di cui, come già anticipato, è disponibile anche un PoC pubblico.

Aggiornamento del 31 Agosto 2018

Il codice di sfruttamento originale pubblicato su GitHub funziona solo su versioni a 64 bit di Windows 10 v1803 e Windows Server 2016.
 
Il 29 agosto, i ricercatori di sicurezza Will Dormann e Kevin Beaumont hanno riferito che, con piccole modifiche, tale codice poteva essere modificato per funzionare anche su versioni a 32 bit.
Come spesso accade in occasione di vulnerabilità di sicurezza, Microsoft sembra non aver fornito una risposta precisa in merito alla questione. Il produttore del sistema operativo dovrebbe risolvere la vulnerabilità zero-day l’11 settembre 2018, in coincidenza con il rilascio mensile di aggiornamenti di sicurezza.
 
A distanza di tre giorni dal rilascio del PoC, non sono note evidenze di sfruttamento della vulnerabilità zero-day, che affligge “ALPC”, da parte di malintenzionati.

Aggiornamento del 9 Settembre 2018

La società di sicurezza ESET ha identificato l’utilizzo dell’exploit per lo sfruttamento della vulnerabilità ALPC, in una campagna di spam malevola ad opera di un gruppo da loro soprannominato PowerPool.
Tale gruppo avrebbe colpito un ristretto numero di vittime in Cile, Germania, India, Filippine, Polonia, Russia, Regno Unito, gli Stati Uniti e Ucraina. I ricercatori di ESET hanno anche determinato che PowerPool ha leggermente modificato il codice sorgente di exploit disponibile pubblicamente e lo ha ricompilato per i suoi attacchi.
 
Lo zero-day sfrutta un difetto della funzione API SchRpcSetSecurity del servizio di schedulazione di Windows e, a causa di un mancato controllo sull’autorizzazione utente, permetterebbe ad un attaccante di scrivere nella cartella c:windowstask. 
Per eseguire l’escalation di privilegi locali, è sufficiente inserire un hard link a un qualsiasi programma che viene eseguito automaticamente dal sistema (ad esempio il processo di aggiornamento software). In questo modo, alla successiva esecuzione, il malware avrà i diritti amministrativi sulla macchina.
Da quanto emerge dalla ricerca il gruppo hacker PowerPool ha scelto in questo caso di sovrascrivere il file eseguibile GoogleUpdate (C:Programmi(x86)GoogleUpdateGoogleUpdate.exe), un programma di aggiornamento legittimo per le applicazioni di casa Google.
 
 
Vettore di infezione
Secondo i ricercatori, esistono diverse modalità per infettare le vittime, uno di questo è l’invio di una mail con il malware allegato. Sembrerebbe inoltre che lo stesso gruppo abbia già operato a maggio del 2018, con una campagna meno mirata di quest’ultima e che utilizzava file Symbolic Link (.slk) per la distribuzione di malware.
 
Contromisure
Ricordiamo che Microsoft dovrebbe risolvere tale vulnerabilità, domani 11 settembre, in occasione del rilascio mensile di aggiornamenti di sicurezza.
 
Gli indicatori di compromissione possono essere trovati sulla pagina di GitHub di ESET che, come dichiarato nel blog, continuerà a monitorare qualsiasi utilizzo dannoso di questa nuova vulnerabilità.