Windows ALPC零日漏洞在野攻击分析预警​

2018-09-10 00:00:00 0
        近日,安全研究人员在Twitter上公布了微软Windows任务计划程序包含处理ALPC的零日漏洞,允许本地用户获取SYSTEM权限,从而能运行任意应用程序。其同时也公布了POC,目前微软并没有发布相应的补丁程序。        该信息发布两天后,研究人员发现PowerPool黑客组织已经开始利用该漏洞,企图对全球发动攻击。亚信安全已经可以检测黑客使用的攻击程序,并将其命名为BKDR_POWPOOL.A和TROJ64_EXPALPC.A。        据研究人员分析,近一周内,PowerPool黑客组织已经对智利、德国、印度、菲律宾、波兰、俄罗斯、英国、美国和乌克兰等发动了少量试探性垃圾邮件定向攻击,这些垃圾邮件均带有恶意程序附件。        此次攻击分为两个阶段,通过第一阶段的后门程序感染用户,如果攻击者确定受感染的计算机可能包含敏感数据,他们会下载第二个更强大的后门程序。然后,其会使用Windows ALPC零日漏洞来获取管理员权限,将特权从受限制的用户升级到SYSTEM。
        解决方案 1、不要点击来源不明的邮件以及附件;2、不要点击邮件中的可疑链接;3、及时升级系统,打全系统补丁;亚信安全解决方案 亚信安全病毒码版本14.483.60 ,云病毒码版本14.483.71,全球码版本14.483.00及以上版本已经可以检测,请用户及时升级病毒码版本;总结      由于研究人员在没有补丁程序的情况下在网上披露零日漏洞,而且还发布了利用漏洞的完整源代码,这就导致该漏洞可以轻而易举的被恶意软件开发人员重用,引发网络攻击事件。亚信安全提醒用户注意防范此类攻击,部署邮件网关及桌面安全产品,有效阻止攻击事件的发生。