Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News Disclaimer
 
Zero-Day-Lücke in Windows im Visier der Hacker-Gruppe PowerPool

07.09.2018

 zur Newsdatenbank home

In Windows 7 bis 10 befindet sich eine bislang ungepatchte, sogenannte Zero-Day-Lücke. Unbekannte haben es nun auf diese abgesehen und greifen weltweit verwundbare Computer an. Sicherheitsforscher von Eset berichten in einem Blog-Eintrag, dass darunter neben den USA und Russland auch Ziele in Deutschland sein sollen. Ein Opfer muss allerdings mitspielen und der Angriff klappt nicht ohne Weiteres.

Die Lücke (Local Privilege Escalation) liegt in der Windows-Aufgabenplanung im Interface von Advanced Local Procedure Call (ALPC). Die API-Funktion SchRpcSetSecurity überprüft dabei die Rechte von lokalen Nutzern nicht korrekt und ein Angreifer könnte so sogar mit eingeschränkten Rechten unter C:\Windows\Task liegende Dateien verändern. Gefährlich wird es, wenn ein Angreifer im Task-Ordner beispielsweise eine Datei anlegt, die auf eine Datei an einem anderen Ort, welche wiederum automatisch mit Admin-Rechten läuft, verweist.

Auf diesem Weg manipuliert die PowerPool-Gruppe die Aktualisierungsroutine Googleupdate.exe, welche vom Windows-Aufgabenplaner regelmäßig mit Admin-Rechten ausgeführt wird. Da die Angreifer über die Schwachstelle in der API Schreibrechte erworben haben, können sie die Datei mit Schadcode verseuchen.

Eset zufolge platzieren die Angreifer bis zu zwei Hintertüren auf kompromittierten Computern, wenn der Angriff klappt. Über die erste können der PC ausgekundschaftet und Screenshots gemacht werden.

Weitere Malware, über die dann beispielsweise Befehle ausgeführt und Dateien heruntergeladen werden können, kommt zum Einsatz, wenn ein Computer für die Angreifer interessante Informationen bereithält, berichten die Sicherheitsforscher.

Die Angreifer müssen einem Opfer aber zunächst ihre PowerPool-Malware, die einen Angriff initiiert, auf den Computer schieben damit das klappt. Eset zufolge findet das derzeit über Mails mit Anhang statt. Die Verbreitung läuft laut den Daten der Sicherheitsforscher momentan noch in überschaubaren Ausmaßen. Zitat: "Die Malware-Kampagne begrenzt sich zurzeit auf wenige User."

Ein offizielles Statement von Microsoft gibt es noch nicht,. aber es ist davon auszugehen, dass die Lücke kommende Woche am Patchday am Dienstag geschlossen wird. Das CERT der Carnegie Mellon University hat bis dahin einen Workaround veröffentlicht, welcher Windows-PCs absichern soll. Weitere Tipps zur Absicherung gibt es von den Sicherheitsforschern Karsten Nilsen und James Forshaw.

(mt, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89