Nulldagssårbarheten i Windows 7 og nyere, som digi.no omtalte i forrige uke, blir allerede utnyttet i reelle kyberangrep. Konseptbevis og andre detaljer om sårbarheten, som er lokalisert i Task Scheduler-komponenten, ble som kjent offentliggjort uten at Microsoft var gjort kjent med den på forhånd. Selskapet har ennå ikke kommet med noen offisiell sikkerhetsfiks som fjerner sårbarheten.
Allerede to dager etter offentliggjøringen av konseptbeviset, oppdaget sikkerhetsforskere hos Eset at en variant av konseptbeviset har blitt inkludert i en eksisterende skadevare fra en kriminell gruppe som kalles PowerPool.
Nokså ny trusselaktør
PowerPool skal være en ganske fersk aktør som foreløpig bare har angrepet et mindre antall ofre i land som Chile, Filippinene, India, Polen, Russland, Storbritannia, Tyskland, Ukraina og USA. Men ifølge Eset har gruppen allerede skaffet seg et ganske omfattende arsenal av skadevareverktøy.
_logo.svg.png){kind=logo}
Sårbarheten som ble kjent i forrige uke, finnes i en Advanced Local Procedure Call-funksjon (ALPC) i Task Scheduler-komponenten. Den åpner for å øke de lokale privilegiene til en innlogget bruker.
Skadevare som utnytter sårbarheten, vil dermed kunne utføre handlinger på datamaskinen som selv den legitime, innloggede brukeren ikke tillates å gjøre.
Via epost
Typisk framgangsmåte for PowerPool-gruppen er å lokke ofrene til å kjøre skadevare som sendes som epostvedlegg.
Ved hjelp av denne innledende skadevaren opprettes det e bakdør som gruppen kan bruke til å til å installere ytterligere skadevare. Denne kan kontrolleres ved hjelp av en kontroll- og kommandoserver.
Flere av verktøyene som gruppen bruker, er basert på PowerShell. Derav kallenavnet på gruppen. Noen av de øvrige verktøyene gruppen benytter, kan brukes til hente innloggingsinformasjon fra blant annet nettlesere, Outlook og Windows selv.
Sikkerhetsoppdatering
Selv om Microsoft ennå ikke har kommet med noen sikkerhetsoppdatering som fjerner denne sårbarheten, så finnes det et annet alternativ. Ifølge Bleeping Computer har selskapet Acros Security kommet med en midlertidig «mikropatch» som kan installeres ved hjelp av et eget verktøy.
Mikropatchen skal være tilgjengelig for 64-bitsutgaver av Windows 7, de tre nyeste utgavene av Windows 10, Windows Server 2008 og Windows Server 2016.
Det er trolig ingen stor risiko i å installere denne patchen. Acros Security har utgitt kildekoden til den, slik at interesserte kan se hva den gjør.
Det er ventet at Microsoft vil komme med en offisiell sikkerhetsfiks på tirsdag i neste uke.
Ikke utsett
Det er ikke uvanlig at kriminelle lager skadevare som utnytter kjente sårbarheter, også etter at det har kommet sikkerhetsfikser som kan fjerne dem. Eksempelet i denne saken viser at det ikke nødvendigvis tar lang tid før slike sårbarheter blir utnyttet.
Ikke minst NotPetya-episoden i fjor sommer viste hvor viktig det er å ikke vente lenge med installere sikkerhetsoppdateringene som utgis.
NotPetya utnyttet nemlig NSA-angrepsverktøyet EternalBlue. Allerede i mars i fjor kom Microsoft med sikkerhetsfikser som kunne stoppet angrep basert på EternalBlue. Men fordi mange virksomheter fortsatt ikke hadde installert sikkerhetsfiksene da NotPetya-angrepet startet i juni fjor, var det mulig for skadevaren å spre seg til svært raskt og gjøre skade for milliarder av kroner.
Les også: For NSA var EternalBlue-verktøyet som å fiske med dynamitt
