TDL4 став використовувати 0-day вразливість

admin Новини ІТ-безпеки

TLD4 - новий rootkitЕкспертами Лабораторії Касперського були виявлені екземпляри шкідливої програми TDL4 (оновлення TDSS), які використовують 0-day вразливість для підвищення привілеїв в системах Windows 7 / 2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888).

Дана вразливість спочатку була виявлена в шкідливій програмі Stuxnet.

Використання експлоїта до даної вразливості дозволяє руткіту TDL4 встановлюватися в системі без ніяких повідомлень від захисних механізмів UAC, що за змовчуванням функціонують у всіх сучасних операційних системах Windows. При запуску трояну в системі, наприклад в Windows 7, процес отримує відфільтрований маркер (робота UAC), з привілеями звичайного користувача. У результаті чого, спроба потрапити в процес диспетчера черги друку завершується з помилкою (ERROR_ACCESS_DENIED).(Раджу переглянути - Знайдена вразливість в автоіммобілайзерах)

Як повідомляється, роботи з впровадження в диспетчер черги друку ведуться і в старих версіях цієї шкідливої програми. У нових же модифікаціях після помилки йде спроба використання 0-day експлоітів підвищення привілеїв до "LocalSystem"

Інсталятор руткіта має при собі спеціальний код для обходу деяких проактивних захистів.

"З метою перешкоджати впровадженню в spoolsv руткіта TDL4 (TDL4 отримав підтримку 64-бітних ОС), деякі проактивні захисту перехоплюють у SSDT функцію NtConnectPort і, якщо ім'я порту" \RPC Control\spoolss ", видають повідомлення про спробу впровадження в диспетчер черги друку. Розробники шкідливої програми дуже просто вирішили цю проблему - вони у своєму власному процесі перехопили ntdll.ZwConnectPort, де в обробнику перехоплювача звіряють значення переданого параметра ServerPortName в функцію (UNICODE рядок), і якщо це"\RPC Control\spoolss ", замінюють її на аналог з використанням символьного посилання на кореневий каталог простору імен диспетчера об'єктів ", пише Сергій Голованов, експерт Лабораторії Касперського.