שי מאור מחשבים

2 weeks ago

יומיים לאחר פרסום פירצת zero-day היא נמצאת כבר בשימוש!
פירצת zero-day ב Windows שפורסמה פומבית נמצאת בשימוש בנוזקה רק יומיים לאחר מכן.
חוקרי ESET הם הראשונים שגילו את השימוש בפירצה in the wild והוציאו זיהויים לנוזקה.
מיקרוסופט תוציא עדכון שיתקן את הפירצה רק ב 11 לספטמבר.
לקוחות ESET ביתיים ועסקיים עם העדכון האחרון מוגנים בפני הנוזקה כבר עכשיו.

ב 27 לאוגוסט פירסמה חוקרת אבטחת מידע פירצה ב Windows בציוץ בטוויטר וקישרה לעמוד ה GitHub שלה, בו הקוד היה זמין לכל.

המהלך לא נעשה בצורה אחראית של פניה מסודרת לחברת מיקרוסופט והמתנה לשחרור של תיקון (patch) לפני פרסום של הפירצה בפומבי, ולכן עדיין לא שוחרר תיקון של מיקרוסופט (התיקון צפוי לצאת ביום שלישי הקרוב, ה 11 לספטמבר).

הפירצה שגילתה במערכת ה ALPC (Advanced Local Procedure Call) שמשפיעה על מערכות הפעלה Windows בגרסאות 7, 8, ו- 10, מאפשרת לתוקף לבצע העלאה מקומית של הרשאות (Local Privilege Escalation) כדי לקבל הרשאות של מנהל מקומי באמצעות קובץ הפעלה או תהליך.
הציוץ של החוקרת שמכנה את עצמה SandboxEscaper קישר לעמוד ה GitHub שלה שבו פרסמה הוכחת היתכנות (Proof-Of-Concept) של הפירצה. היא הרחיקה לכת ולא פירסמה רק גרסה מקומפלת אלא גם את קוד המקור. כתוצאה מכך כל אחד יכול להשתמש בקוד המקור, לשנות אותו, ולקמפל אותו כך שיחמוק מזיהוי של מוצרי אבטחה. ניתן גם לשלב את הקוד עם קוד קיים בתוכנות אחרות.

הקבוצה משתמשת בעיקר באימיילים עם קובץ מצורף בשלב התקיפה הראשוני, ומשתמשת במספר רב של כלי פריצה בקוד פתוח, שמשולבים בסקריפטים מסוג PowerShell, דרך פעולה מאוד פופולרית בקרב כותבי נוזקות במהלך השנים האחרונות.
ניתן להניח בוודאות שקבוצות תקיפה נוספות ישתמשו בפירצה במהלך החודשים הקרובים וישלבו אותה בכלי הפריצה והנוזקות שלהן.

לקוחות ESET עם מוצרים ביתיים או עסקיים מוגנים מכלי ההתקפה של PowerPool, ומזהים אותם בשמות:

Win32/Agent.SZS
Win32/Agent.TCH
Win32/Agent.TEL
Win32/Agent.THT
Win32/Agent.TDK
Win32/Agent.TIA
Win32/Agent.TID

חשוב לוודא שהמוצר שמותקן אצלכם מעודכן כך שידע לזהות את הנוזקה שעושה שימוש בפירצה.

ניתן למצוא מידע נוסף על הפירצה ועל כלי התקיפה של הקבוצה PowerPool באתר העולמי של ESET. ... See MoreSee Less