网络安全公司ESET于上周发表的一篇博文中指出，仅在一个最新的微软Windows零日漏洞被公开披露的两天之后，一个被追踪为“PowerPool”的黑客组织就在实际攻击活动中对它进行了利用。虽然从相关数据来看受害者数量并不多，但攻击却横跨了多个国家，其中包括智利、德国、印度、菲律宾、波兰、俄罗斯、英国、美国和乌克兰。

一个Windows零日漏洞在上个月被公开披露

2018年8月27日，一个据称影响到从Windows 7到Windows 10的所有操作系统版本的零日漏洞在GitHub上被公开披露，同时披露者（SandboxEscaper）还通过Twitter对此事进行了宣传。

SandboxEscaper发布的推文

该推文包含了一条指向GitHub存储库的链接，而该存储库则包含了该漏洞利用的概念验证代码。披露者不仅仅发布了编译版本，同时也包括源代码。因此，任何人都可以在源代码的基础上对漏洞利用程序进行修改或重新编译，使其更适合于实际攻击。

ESET表示，此次漏洞披露并不合理，因为在发布这条推文时，该漏洞并没有相应的安全补丁可用。

从公开披露的漏洞细节来看，该漏洞主要影响的是Windows操作系统的高级本地过程调用（ALPC）功能，并允许本地权限提升（LPE）。根据ESET的说法，LPE漏洞通常允许可执行文件或进程提升权限。在特定情况下，它允许受限用户启动的可执行文件获得SYSTEM权限。

PowerPool组织对漏洞利用程序进行了“优化”

ESET表示，虽然PowerPool是一个新成立的黑客组织，但并不意味着他们缺乏可用的黑客工具以及开发工具的能力。比如，对于这个最新的Windows零日漏洞的利用，PowerPool并没有直接使用由披露者提供的二进制文件。相反，他们对源代码进行了修改，并对其进行了重新编译。

从安全研究员Kevin Beaumont和CERT对该漏洞的分析来看，它是由于SchRpcSetSecurity API函数中未能够正确检查用户的权限而导致的。因此，无论实际权限如何，用户都可以对C:\Windows\Task中的任何文件具有写权限，这允许仅具有读权限的用户也能够替换写保护文件的内容。

由于任何用户在C:\Windows\Task都具有写权限，因此我们完全可以在此文件夹中创建一个文件来充当指向任何目标文件的硬链接。然后，通过调用SchRpcSetSecurity函数，就可以获得对该目标文件的写权限。

想要实现本地权限提升，攻击者首先需要选择将被覆盖的目标文件，而此类需要是一个使用SYSTEM权限自动执行的文件。例如，它可以是系统文件，也可以是由任务定期执行的已安装软件的更新程序。最后一步涉及到使用恶意代码替换受保护目标文件的内容，使得在下次自动执行时，恶意软件将具有SYSTEM权限，而不用管其原始权限如何。

对于PowerPool而言，他们选择的是更改文件C:\Program Files (x86)\Google\Update\GoogleUpdate.exe的内容。这是Google应用的合法更新程序，并且通常由微软Windows任务在SYSTEM权限下运行。

创建指向Google Updater的硬链接

滥用SchRpcCreateFolder修改Google Updater权限

PowerPool组织常用的攻击手段和黑客工具

ESET表示，PowerPool组织在整个攻击链中会使用不同的方法来实现初步入侵，其中一种便是发送带有恶意附件的垃圾电子邮件。根据SANS互联网风暴中心在5月份发表的一篇分析文章来看，该组织曾使用了Symbolic Link（.slk）文件来作为附件。此类文件可以由微软Excel打开，并强制Excel执行PowerShell代码。

PowerPool垃圾电子邮件样本示例

在攻击中，PowerPool组织主要会使用到两个不同的后门。其中，第一个后门用于侦察，它包含两个Windows可执行文件：第一个可执行文件能够通过Windows服务建立持久性以及收集代理信息；第二个可执行文件的目的只有一个，截取受感染设备的截图并写入MyScreen.jpg，然后由第一个可执行文件上传到C＆C服务器。

用于实现代理信息收集的代码段

第二个后门用于从http://[C&C域名]/cmdpooland搜索命令，并从http://[ C&C域名]/upload下载其他工具。

支持的命令包括：

• 执行命令
• 终止进程
• 上传文件
• 下载文件
• 列出文件夹内清单

下载的工具包括：

• PowerDump：一个Metasploit模块，可以从安全帐户管理器（SAM）中获取用户名和哈希值；
• PowerSploit：一个基于PowerShell的Post-Exploitation框架，类似于Metasploit；
• SMBExec：一个用于执行哈希传递（pass-the-hash）SMB连接的PowerShell工具；
• Quarks PwDump：一个可以获取Windows凭证的Windows可执行文件；
• FireMaster：一个Windows可执行文件，可以从Outlook、网页浏览器中获取存储的密码。

如何减轻该本地权限提升（LPE）所带来的威胁

根据CERT发布的信息，安全研究员Karsten Nilsen提供了可用来减轻该本地权限提升（LPE）所带来威胁的缓解措施。请注意：此缓解措施尚未得到微软的认可。

想要缓解此漏洞带来的威胁，请在提示符中运行以下命令：

icacls c:\windows\tasks /remove:g "Authenticated Users"[出自:jiwo.org]
icacls c:\windows\tasks /deny system:(OI)(CI)(WD,WDAC)

请注意，当针对此漏洞的安全补丁发布时，应及时撤消这些更改。这可以通过执行以下命令来完成：

icacls c:\windows\tasks /remove:d system
icacls c:\windows\tasks /grant:r "Authenticated Users":(RX,WD)