先日公表されたWindowsのタスクスケジューラに存在するゼロデイ脆弱性を狙う攻撃が確認された(WeLiveSecurityの記事、 BetaNewsの記事、 The Registerの記事)。

この脆弱性はタスクスケジューラによるAdvanced Local Procedure Call(ALPC)の処理に存在し、管理者権限がなくても「C:\Windows\Tasks」に任意のファイルのハードリンクを作成してDACLを変更し、元のファイルを置き換えることが可能になるというものだ。攻撃者は高い権限で自動実行されるファイルを置き換えることで、ローカルでの権限昇格が可能だ。

ローカルでの権限昇格なので、Webサイトから直接攻撃するといったことはできないが、メールでエクスプロイトを送り付け、ユーザーをだまして実行させれば脆弱性を悪用した攻撃が可能となる。ESETが発見した攻撃はPowerPoolというグループによるものだ。大規模なスパムキャンペーンではなく、攻撃相手を厳選しているものとみられ、被害件数は少ないようだ。攻撃対象国にはチリ、ドイツ、インド、フィリピン、ポーランド、ロシア、英国、米国、ウクライナが含まれるとのこと。

PowerPoolでは脆弱性公表者がGitHubで公開(現在は削除)していたエクスプロイトのソースコードを改造し、Google製アプリケーションの更新に使われるGoogleUpdate.exeをマルウェアに置き換えている。攻撃は被害者のPCが情報収集に値するかどうかを調べてC&Cサーバーに送るバックドア第1段と、第1段の結果によって送り込まれるバックドア第2段の二段構えになっており、バックドア第2段はさまざまなオープンソースツールを利用して被害者のPCからパスワードなどを盗み出すとのことだ。