Zero-Day-Lücke in Windows im Visier der Hacker-Gruppe PowerPool

Derzeit attackieren unbekannte Angreifer Windows-Computer. Darunter sollen auch Ziele in Österreich sein. Für die Lücke gibt es noch keinen Patch.

In Windows 7 bis 10 klafft eine bislang ungepatchte, sogenannte Zero-Day-Lücke. Darauf haben es nun unbekannte Angreifer abgesehen und greifen weltweit verwundbare Computer an. Darunter sollen neben den USA und Russland auch Ziele in Österreich sein, berichten Sicherheitsforscher von Eset in einem Blog-Eintrag. Ein Angriff klappt aber nicht ohne Weiteres und ein Opfer muss mitspielen.

Die Lücke (Local Privilege Escalation) klafft in der Windows-Aufgabenplanung im Interface von Advanced Local Procedure Call (ALPC). Dabei überprüft die API-Funktion SchRpcSetSecurity die Rechte von lokalen Nutzern nicht korrekt. So könnte ein Angreifer sogar mit eingeschränkten Rechten unter C:\Windows\Task liegende Dateien verändern und sich von dort aus weiter hangeln. Legt ein Angreifer im Task-Ordner beispielsweise eine Datei an, die auf eine Datei an einem anderen Ort verweist, welche wiederum automatisch mit Admin-Rechten läuft, wird es gefährlich.

Die PowerPool-Gruppe manipuliert auf diesem Weg die Aktualisierungsroutine Googleupdate.exe, die der Windows-Aufgabenplaner regelmäßig mit Admin-Rechten ausführt. Durch die Schreibrechte, die die Angreifer über die Schwachstelle in der API erworben haben, können sie die Datei mit Schadcode verseuchen.

Klappt ein Angriff, platzieren die Angreifer Eset zufolge bis zu zwei Hintertüren auf kompromittierten Computern. Über die erste können die Angreifer den PC auskundschaften und Screenshots machen.

Hält ein Computer für die Angreifer interessante Informationen bereit, kommt weitere Malware zum Einsatz. Darüber können sie dann beispielsweise Befehle ausführen und Dateien herunterladen, berichten die Sicherheitsforscher.

Damit das klappt, müssen die Hacker einem Opfer aber zunächst ihre PowerPool-Malware auf den Computer schieben, die einen Angriff initiiert. Das findet Eset zufolge derzeit über Mails mit Anhang statt. Damit Angreifer einen ersten Schritt auf Computer setzen können, muss ein Opfer erst mal auf eine Betrüger-Mail hereinfallen und den Dateianhang ausführen. Laut den Daten der Sicherheitsforscher läuft die Verbreitung momentan noch in überschaubaren Ausmaßen.

Die Lücke sorgte Ende August das erste Mal für Schlagzeilen. Seitdem ist Proof-of-Concept-Code auf Github verfügbar und es war nur eine Frage der Zeit, bis Angreifer daraus Exploits bauen. Ein offizielles Statement von Microsoft steht immer noch aus. Es ist davon auszugehen, dass sie die Lücke kommende Woche am Patchday am Dienstag schließen. Bis dahin hat das CERT der Carnegie Mellon University einen Workaround veröffentlicht, der Windows-PCs absichern soll.

2018-09-06T12:27:20+00:00