La semana pasada, un investigador de seguridad reveló una vulnerabilidad de Windows en Twitter, junto con una Prueba de concepto (PoC). No es para sorprenderse que algunos actores maliciosos se lanzaran en unos días para usar el error en su beneficio.
El usuario de Twitter SandboxEscaper reveló errores y vulnerabilidades de día cero (una vulnerabilidad de software que es desconocida para aquellos que estarían interesados en mitigarla) en la interfaz de llamada a procedimiento local avanzado (ALPC) de los programadores de tareas de Windows 7 y Windows 10, que podría permitir a un atacante obtener derechos administrativos, incluso si el ejecutable malicioso fuera lanzado por una cuenta de usuario de Windows limitada.
SandboxEscaper lanzó el código fuente PoC al mismo tiempo que la divulgación del error, lo que significaba que cualquiera podía modificar y reutilizar ese código para un ataque a gran escala contra máquinas Windows, que pudiera evadir las protecciones de seguridad, incluidos los escaneos antivirus.
Un grupo llamado PowerPool modificó ese código fuente PoC original, lo compiló y luego lo usó para reemplazar el ejecutable de autoactualización de Google Chrome con su propio archivo malicioso, con el fin de obtener privilegios de sistema en las máquinas de las víctimas. El malware puede realizar acciones como ejecutar comandos, eliminar procesos y cargar y descargar archivos, así como también listar carpetas.
La etapa inicial de la infección, que se inicia mediante un archivo adjunto malicioso en un correo electrónico a la víctima, también permite que el grupo PowerTool realice una recopilación de datos básicos, incluida la captura de capturas de pantalla de las PC de las víctimas.
Aún sin soluciones
Microsoft aparentemente fue sorprendido por la divulgación inicial del error de SandboxEscaper, y dijo que lanzará un parche el próximo «martes de actualización» el 11 de septiembre.
CERT/CC ha publicado algunas mitigaciones potenciales para este ataque, pero Microsoft no las ha aprobado oficialmente.