Lo scorso 27 Agosto è stata pubblicata su GitHub una vulnerabilità zero-day che interessa sistemi Microsoft da Windows 7 a Windows 10, in particolare la funzione ALPC – Advanced Local Procedure Call. La falla consente l’escalation dei privilegi locali (LPE), permettendo a un eseguibile lanciato da un utente con restrizioni di ottenere i diritti amministrativi. Prima ancora che fosse rilasciata la patch per correggerla, la vulnerabilità è stata pubblicizzata anche su Twitter. Nel giro di soli due giorni, l’exploit in una campagna malevola da un gruppo di cybercriminali che i ricercatori hanno chiamato PowerPool.
Il tweet conteneva infatti un collegamento a un repository GitHub che indicava il codice Proof-of-Concept per l’exploit. Non solo è stata rilasciata una versione compilata, ma addirittura anche il codice sorgente. Di conseguenza, chiunque poteva modificare e ricompilare l’exploit, al fine di “migliorarlo”, eludere il rilevamento o anche incorporarlo nel proprio codice.
Powerpool ha colpito un ristretto numero di vittime e, in base alla telemetria di ESET e agli upload su VirusTotal, i paesi presi di mira includono Cile, Germania, India, Filippine, Polonia, Russia, Regno Unito, Stati Uniti e Ucraina.
Il gruppo PowerPool utilizza diversi approcci per colpire inizialmente una vittima. Uno è quello di inviare email con il malware come allegato. Potrebbe essere troppo presto per dirlo, ma fino ad oggi sono stati rilevati pochissimi eventi nella telemetria di ESET, quindi i destinatari potrebbero essere stati scelti con cura.
Per sfruttare l’exploit, è necessario prendere di mira un file che viene eseguito automaticamente dal sistema operativo, per esempio un eseguibile che si occupa di aggiornare un programma installato in precedenza. Gli sviluppatori di PowerPool hanno scelto di modificare il contenuto del file GoogleUpdate.exe, programma di aggiornamento legittimo per le applicazioni di Google che è regolarmente eseguito con privilegi amministrativi da un’attività di Microsoft Windows.
PowerPool impiega principalmente due backdoor diverse: una backdoor di primo livello utilizzata subito dopo l’inziale compromissione e successivamente una di secondo livello, probabilmente attivata solo sulle macchine reputate più interessanti.
Una volta che gli operatori PowerPool ottengono l’accesso permanente a una macchina con la backdoor di secondo livello, utilizzano diversi strumenti open source, scritti principalmente in PowerShell, per spostarsi lateralmente sulla rete.
Secondo i ricercatori di ESET, diffondere informazioni su una vulnerabilità al di fuori di un processo di divulgazione ufficialmente coordinato mette a rischio molti utenti. In questo caso, anche la versione più aggiornata di Windows potrebbe essere compromessa poiché, come in questo caso, al momento della pubblicazione di dettagli sulla vulnerabilità e sull’exploit non era stata ancora rilasciata alcuna patch ufficiale. Il CERT-CC ha fornito alcune soluzioni, ma Microsoft non le ha approvate ufficialmente.