Se está explotando una vulnerabilidad de Día Cero en Windows
- Vulnerabilidades
La vulnerabilidad de día cero se publicitó a través de un tweet vinculado a un repositorio de GitHub que contiene el código de la prueba de concepto del exploit. Como era de esperar, solo dos días después ya surgió una campaña por parte de un grupo denominado PowerPool.
|
También puedes leer... |
El 27 de agosto, una vulnerabilidad de día cero que afecta a Microsoft Windows se publicó en GitHub y se publicitó a través de un tweet, pese a que en ese momento todavía no había ningún parche para corregir la vulnerabilidad.
La vulnerabilidad afecta a los sistemas operativos de Microsoft Windows, desde Windows 7 a Windows 10, y, en particular, a la función de llamada de procedimiento local avanzado (ALPC), la cual permite una escalada de privilegio local, en la que un ejecutable o proceso puede escalar privilegios. En ese caso específico, permite que un ejecutable lanzado por un usuario restringido obtenga derechos administrativos.
El tweet contenía un enlace a un repositorio de GitHub con el código de la prueba de concepto del exploit. No solo se lanzó una versión compilada, sino también el código fuente. En consecuencia, cualquiera podía modificar y volver a compilar el exploit para "mejorarlo", evadir la detección o incluso incorporarlo en su código.
Como era de esperar, sólo dos días después de su publicación, investigadores de ESET identificaron por primera vez el uso de este exploit en una campaña maliciosa de un grupo al que han denominado PowerPool. Este grupo tiene un pequeño número de víctimas y según la telemetría y carga a VirusTotal, los países a los que se ha dirigido incluyen Chile, Alemania, India, Filipinas, Polonia, Rusia y el Reino Unido, Estados Unidos y Ucrania.
