Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

TDL4 zaczyna wykorzystywać lukę 0-Day!

Siergiej Golowanow
Kaspersky Lab Expert
Dodany 10 grudnia 2010, 10:28 CET
Tagi:

Na początku grudnia eksperci z Kaspersky Lab wykryli próbki szkodliwego programu TDL4 (nowa modyfikacja TDSS), który wykorzystuje lukę 0-day w celu eskalacji przywilejów pod Windowsem 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888). Wykorzystywanie tej luki zostało po raz pierwszy wykryte podczas analizy Stuxneta.

Dzięki wykorzystaniu exploita dla tej luki rootkit TDL4 może zainstalować się w systemie, a narzędzia bezpieczeństwa UAC (User Account Control) nie wygenerują żadnego powiadomienia. UAC jest domyślnie włączony we wszystkich najnowszych wersjach Windowsa.

Po tym jak trojan uruchomi się w systemie, np. Windows 7, jego proces otrzyma odfiltrowany token ze zwykłymi przywilejami użytkownika. Próba wstrzyknięcia się do procesu bufora wydruku kończy się błędem (ERROR_ACCESS_DENIED).

Błąd występuje wtedy, gdy TDL4 próbuje ingerować w proces bufora wydruku. Wcześniejsze modyfikacje tego szkodnika również próbują przeniknąć proces bufora wydruku. Jednak nowe modyfikacje próbują wykorzystać exploita 0-day do eskalacji przywilejów do poziomu LocalSystem.

Co ciekawe, instalator rootkita posiada kod, który pozwala mu obejść niektóre narzędzia ochrony proaktywnej. Niektóre z takich narzędzi przechwytują funkcję NtConnectPort w SSDT, aby uniemożliwić TDL4 wstrzyknięcie się do spoolsv; jeżeli nazwą portu jest "\RPC Control\spoolss", generują powiadomienie o próbie przeniknięcia procesu bufora wydruku. Twórcy TDL4 wymyślili proste “rozwiązanie” na ten problem: przechwytują ntdll.ZwConnectPort w procesie TDL4 i sprawdzają wartość parametru ServerPortName wysyłanego do tej funkcji (ciąg UNICODE); jeżeli jest to "\RPC Control\spoolss", zastępują go analogicznym zawierającym symboliczny odsyłacz do głównego katalogu przestrzeni nazwy menedżera obiektu.

 

Kod ten zwalcza proaktywne technologie bezpieczeństwa.

TDSS po raz kolejny udowodnił, że jest jednym z najbardziej złożonych i niebezpiecznych szkodliwych programów.