PowerPool, il malware che sfrutta la vulnerabilità zero-day di Windows ALPC

Il 27 Agosto 2018 una vulnerabilità zero-day scoperta sui sistemi Microsoft Windows è stata pubblicata su GitHub e ulteriormente pubblicizzata su Twitter, senza che fosse stata ancora rilasciata la patch per correggere la vulnerabilità. Questa falla interessa i sistemi operativi Microsoft Windows da Windows 7 a Windows 10 e, in particolare, la funzione ALPC – Advanced Local Procedure Call – consentendo l’escalation dei privilegi locali (LPE). In questo caso specifico, l’LPE permette a un eseguibile lanciato da un utente con restrizioni di ottenere i diritti amministrativi. Il tweet conteneva un collegamento a un repository GitHub che indicava il codice Proof-of-Concept per l’exploit. Non solo è stata rilasciata una versione compilata, ma addirittura anche il codice sorgente. Di conseguenza, chiunque poteva modificare e ricompilare l’exploit, al fine di “migliorarlo”, eludere il rilevamento o anche incorporarlo nel proprio codice.


PowerPool, il malware che sfrutta la vulnerabilità zero-day di Windows ALPC
PowerPool, il malware che sfrutta la vulnerabilità zero-day di Windows ALPC

Come si poteva prevedere, sono bastati solo due giorni prima di identificare l’uso di questo exploit in una campagna malevola da un gruppo di cybercriminali, chiamato dai ricercatori di ESET PowerPool. Questo gruppo ha colpito un ristretto numero di vittime e, in base alla telemetria di ESET e agli upload su VirusTotal, i paesi presi di mira includono Cile, Germania, India, Filippine, Polonia, Russia, Regno Unito, Stati Uniti e Ucraina.

Il gruppo PowerPool utilizza diversi approcci per colpire inizialmente una vittima. Uno è quello di inviare email con il malware come allegato. Potrebbe essere troppo presto per dirlo, ma fino ad oggi sono stati rilevati pochissimi eventi nella telemetria di ESET, quindi i destinatari potrebbero essere stati scelti con cura.

Per sfruttare l’exploit, è necessario prendere di mira un file che viene eseguito automaticamente dal sistema operativo, per esempio un eseguibile che si occupa di aggiornare un programma installato in precedenza. Gli sviluppatori di PowerPool hanno scelto di modificare il contenuto del file GoogleUpdate.exe, programma di aggiornamento legittimo per le applicazioni di Google che è regolarmente eseguito con privilegi amministrativi da un’attività di Microsoft Windows.

PowerPool impiega principalmente due backdoor diverse: una backdoor di primo livello utilizzata subito dopo l’inziale compromissione e successivamente una di secondo livello, probabilmente attivata solo sulle macchine reputate più interessanti.

Una volta che gli operatori PowerPool ottengono l’accesso permanente a una macchina con la backdoor di secondo livello, utilizzano diversi strumenti open source, scritti principalmente in PowerShell, per spostarsi lateralmente sulla rete.

Secondo i ricercatori di ESET, diffondere informazioni su una vulnerabilità al di fuori di un processo di divulgazione ufficialmente coordinato mette a rischio molti utenti. In questo caso, anche la versione più aggiornata di Windows potrebbe essere compromessa poiché, come in questo caso, al momento della pubblicazione di dettagli sulla vulnerabilità e sull’exploit non era stata ancora rilasciata alcuna patch ufficiale. Il CERT-CC ha fornito alcune soluzioni, ma Microsoft non le ha approvate ufficialmente.