Уязвимость ALPC в ОС Windows активно эксплуатируется киберпреступниками

image

Теги: Microsoft, Windows, ALPC-интерфейс, вредоносное ПО

Злоумышленники начали эксплуатировать проблему спустя два дня после публикации PoC-кода.

Исследователи безопасности из компании ESET сообщили , что киберпреступная группировка PowerPool активно эксплуатирует недавно раскрытую уязвимость в ALPC-интерфейсе планировщика задач в ОС Windows.

Злоумышленники начали эксплуатировать проблему спустя два дня после публикации PoC-кода. Код был внедрен в цепочку эксплоитов одного из вредоносов, используемых группировкой для заражения систем пользователей по всему миру и хищения их конфиденциальных данных.

Данная уязвимость позволяет злоумышленнику повысить права с уровня Guest или User до уровня SYSTEM. По словам специалистов ESET, проблема активно эксплуатируется киберпреступниками в течение последней недели. Группировка под названием PowerPool отправляет содержащий вредоносное вложение спам выбранным жертвам по всему миру. В частности, сообщается о случаях инфицирования устройств пользователей в Чили, Германии, Индии, Филиппинах, Польше, России, Великобритании, США и Украине.

Когда злоумышленники определяют, что зараженный компьютер может содержать конфиденциальные данные, они загружают второй, более мощный бэкдор. Затем группа использует уязвимость в ALPC-интерфейсе для получения прав администратора.

Напомним, ранее компания по кибербезопасности Acros Security выпустила временное исправление, предотвращающее эксплуатацию данной проблемы.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.