一 漏洞概述

1.1漏洞简介

      近日，安全研究人员在 Twitter 上公布了微软 Windows 任务计划程序包含处理 ALPC 的零日漏洞，允许本地用户获取 SYSTEM 权限，从而能运行任意应用程序。其同时也公布了 POC，目前微软并没有发布相应的补丁程序。目前，PowerPool 黑客组织已经开始利用该漏洞，企图对全球发动攻击。

     近一周内，PowerPool 黑客组织已经对智利、德国、印度、菲律宾、波兰、俄罗斯、英国、美国和乌克兰等发动了少量试探性垃圾邮件定向攻击，这些垃圾邮件均带有恶意程序附件。

1.2漏洞分析

     此次攻击分为两个阶段，通过第一阶段的后门程序感染用户，如果攻击者确定受感染的计算机可能包含敏感数据，他们会下载第二个更强大的后门程序。然后，其会使用 Windows ALPC 零日漏洞来获取管理员权限，将特权从受限制的用户升级到 SYSTEM。

1.3漏洞危害

     攻击者可以获取 SYSTEM 权限，从而能运行任意应用程序。

 

 

二 影响范围

根据 ZoomEye 网络空间搜索引擎对 Windows ALPC 的搜索结果，共找到 47,230,508条历史记录。

 

三 修复建议

1.不要点击来源不明的邮件以及附件。

2.不要点击邮件中的可疑链接。

3.及时升级系统，打全系统补丁。

4.技术业务咨询：

知道创宇技术业务咨询热线：400-060-9587（政府、国有企业）

                                                028-68360638（互联网企业）