Экспертамі Лабараторыі Касперскага былі выяўленыя асобнікі шкоднаснай праграмы TDL4 (абнаўленне TDSS), якія выкарыстаюць 0-day уразлівасць для падвышэння прывілеяў у сістэмах Windows 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888 ). Дадзеная ўразлівасць першапачаткова была выяўленая ў шкоднаснай праграме Stuxnet.
Выкарыстанне эксплоита да дадзенай уразлівасці дазваляе руткиту TDL4 усталёўвацца ў сістэме без якіх альбо паведамленняў ад ахоўных механізмаў UAC, па змаўчанні якія функцыянуюць ва ўсіх сучасных аперацыйных сістэмах Windows. Пры запуску траянца ў сістэме, напрыклад у Windows 7, працэс атрымлівае адфільтраваны маркер (праца UAC), з прывілеямі звычайнага карыстача. У выніку чаго, спроба ўкарэніцца ў працэс дыспетчара чаргі друку завяршаецца з памылкай (ERROR_ACCESS_DENIED). Як паведамляецца, працы па ўкараненні ў дыспетчар чаргі друку вядуцца і ў старых версіях гэтай шкоднаснай праграмы. У новых жа мадыфікацыях пасля памылкі ідзе спроба выкарыстання 0-day эксплоита падвышэнні прывілеяў да "LocalSystem" Усталёўнік руткита мае пры сабе адмысловы код для абыходу некаторых проактивных абарон. "З мэтай перашкаджаць укараненню ў spoolsv руткита TDL4, некаторыя проактивные абароны перахапляюць у SSDT функцыю NtConnectPort і, калі імя порта "RPC Controlspoolss", выдаюць паведамленне аб спробе ўкаранення ў дыспетчар чаргі друку. Распрацоўнікі шкоднаснай праграмы вельмі проста вырашылі гэтую "праблему" - яны ў сваім уласным працэсе перахапілі ntdll.ZwConnectPort, дзе ў апрацоўшчыку перахопніка спраўджваюць значэнне перададзенага параметру ServerPortName у функцыю (UNICODE радок), і, калі гэта "RPC Controlspoolss", замяняюць яе на аналог з выкарыстаннем знакавай спасылкі на каранёвы каталог прасторы імёнаў дыспетчара аб'ектаў", піша Сяргей Голованов, эксперт Лабараторыі Касперскага.
TDL4 стаў выкарыстаць 0-day уразлівасць
7 снежня 2010
Каментароў (0)