Luka 0-day w Windows 10 zastosowana przez hakerów w praktyce

O dziurze 0-Day wykrytej w Windows 10 pisaliśmy już w zeszłym tygodniu. Co prawda podatność ta działa tylko lokalnie, lecz to nie zmniejsza zagrożenia, jakie stwarza jej obecność. Wykorzystuje ona mechanizm związany z Harmonogramem zadań systemu Windows. Microsoft nie wydał jeszcze poprawki, lecz ma to zrobić w ramach najbliższego Patch Tuesday. W chwili ujawnienia przez użytkownika twittera tego błędu, specjaliści z CERT nie potrafili zaproponować żadnego konkretnego sposobu załatania tego problemu.

Po tygodniu od pierwszej informacji o wspomnianej luce 0-day, okazało się że grupa hakerów o nazwie PowerPool mogła wykorzystać już ten exploit w praktyce. Odnaleziono jego kod w paczce exploitów, stworzonej przez właśnie tę grupę. Donosi o tym firma ESET, która na podstawie danych telemetrycznych była w stanie określić, że atak ten zagraża niektórym użytkownikom. Paczka z exploitem została wykorzystana do ataków na konta użytkowników między innymi w Chile, Niemczech, Indiach, Rosji, USA, Wielkiej Brytanii oraz co ciekawe również w Polsce.

Podatność mogła zostać wykorzystana do zainstalowania na komputerze ofiary tak zwanego "backdoora" rozpoznawczego, który wykonuje zrzuty ekranu i wysyła je do docelowego serwera. Może również wykonywać dowolne inne polecenia. Do ataku wykorzystano przeglądarkę Google Chrome, zastępując plik znajdujący się w lokalizacji C:\Program Files(x86)\ Google\Update\GoogleUpdate.exe. Ponieważ ten plik jest regularnie uruchamiany w systemie Windows z uprawnieniami administratora, nadpisanie go złośliwym oprogramowaniem umożliwiło osobom atakującym uzyskanie podwyższonych uprawnień w systemie ofiary. Jednak wszystko zaczyna się od wysłania do ofiary maila ze szkodliwym oprogramowaniem w załączniku. Po pobraniu pliku i jego uruchomieniu przez nieświadomego użytkownika, atakujący go haker uzyskuje dostęp do systemu.

Taka sytuacja nie zaskakuje, bowiem wykorzystanie luki typu 0-day, czyli takiej, która zostaje ujawniona przez jej załataniem przez producenta oprogramowania, jest najbardziej prawdopodobne. Jak już wspomniano, Microsoft jeszcze nie wydał poprawki, ale najwidoczniej nie jest to aż tak krytyczna luka, która wymagałaby natychmiastowej interwencji, tak jak to miało miejsce w przypadku Meltdown i Spectre. Zanim na komputery trafi gotowa łatka, można prewencyjnie zablokować zapisywanie danych w folderze C:\Windows\Tasks, poprzez zastosowanie kontroli dostępu.