Windows ALPC零日漏洞在野攻擊分析預警?

2018-09-10 10:13:09
        近日,安全研究人員在Twitter上公布了微軟Windows任務計劃程序包含處理ALPC的零日漏洞,允許本地用戶獲取SYSTEM權限,從而能運行任意應用程序。其同時也公布了POC,目前微軟并沒有發布相應的補丁程序。        該信息發布兩天后,研究人員發現PowerPool黑客組織已經開始利用該漏洞,企圖對全球發動攻擊。亞信安全已經可以檢測黑客使用的攻擊程序,并將其命名為BKDR_POWPOOL.A和TROJ64_EXPALPC.A。        據研究人員分析,近一周內,PowerPool黑客組織已經對智利、德國、印度、菲律賓、波蘭、俄羅斯、英國、美國和烏克蘭等發動了少量試探性垃圾郵件定向攻擊,這些垃圾郵件均帶有惡意程序附件。        此次攻擊分為兩個階段,通過第一階段的后門程序感染用戶,如果攻擊者確定受感染的計算機可能包含敏感數據,他們會下載第二個更強大的后門程序。然后,其會使用Windows ALPC零日漏洞來獲取管理員權限,將特權從受限制的用戶升級到SYSTEM。
        解決方案 1、不要點擊來源不明的郵件以及附件;2、不要點擊郵件中的可疑鏈接;3、及時升級系統,打全系統補丁;亞信安全解決方案 亞信安全病毒碼版本14.483.60 ,云病毒碼版本14.483.71,全球碼版本14.483.00及以上版本已經可以檢測,請用戶及時升級病毒碼版本;總結      由于研究人員在沒有補丁程序的情況下在網上披露零日漏洞,而且還發布了利用漏洞的完整源代碼,這就導致該漏洞可以輕而易舉的被惡意軟件開發人員重用,引發網絡攻擊事件。亞信安全提醒用戶注意防范此類攻擊,部署郵件網關及桌面安全產品,有效阻止攻擊事件的發生。


陕西陕西十一选五开奖