Microsoft a remediat o vulnerabilitate de escaladare a privilegiilor în Windows Kernel în februarie, la șase luni după ce a fost informată că defectul era exploatat ca zero-day.
Numită CVE-2024-21338, vulnerabilitatea de securitate a fost descoperită de cercetătorul senior de malware Avast, Jan Vojtěšek, în driverul Windows AppLocker appid.sys și raportată către Microsoft în august anul trecut ca zero-day exploatat activ.
Vulnerabilitatea afectează sistemele care rulează mai multe versiuni de Windows 10 și Windows 11 (inclusiv cele mai recente lansări), precum și Windows Server 2019 și 2022.
Microsoft explică că exploatarea cu succes permite atacatorilor locali să obțină privilegii de SYSTEM în atacuri de complexitate redusă care nu necesită interacțiunea utilizatorului.
Pentru a exploata această vulnerabilitate, un atacator ar trebui mai întâi să se autentifice în sistem. Apoi, un atacator ar putea rula o aplicație special concepută care ar putea exploata vulnerabilitatea și prelua controlul asupra unui sistem afectat, spune Redmond.
Compania a remediat vulnerabilitatea pe 13 februarie și a actualizat avertizarea miercuri, 28 februarie, pentru a confirma că CVE-2024-21338 a fost exploatată în sălbăticie, dar nu a dezvăluit detalii despre atacuri.
Însă, Avast a declarat pentru BleepingComputer că hackerii de stat nord-coreeni din gruparea Lazarus au exploatat vulnerabilitatea în atacuri ca zero-day începând cu cel puțin august 2023 pentru a obține acces la nivel de kernel și a dezactiva instrumentele de securitate, permițându-le să evite utilizarea tehnicilor mai ușor de detectat BYOVD (Bring Your Own Vulnerable Driver).
„Din perspectiva atacatorului, trecerea de la admin la kernel deschide o întreagă lume de posibilități. Cu acces la nivel de kernel, un atacator ar putea perturba software-ul de securitate, ascunde indicii de infecție (inclusiv fișiere, activitate de rețea, procese, etc.), dezactiva telemetria în mod kernel, dezactiva mitigările și altele,” a explicat Avast.
„În plus, deoarece securitatea PPL (Protected Process Light) se bazează pe limita de la admin la kernel, atacatorul nostru ipotetic obține și capacitatea de a manipula procesele protejate sau de a adăuga protecție la un proces arbitrar. Acest lucru poate fi deosebit de puternic dacă lsass este protejat cu RunAsPPL, deoarece ocolirea PPL ar putea permite atacatorului să extragă acreditările altfel inaccesibile.”
Lazarus a exploatat vulnerabilitatea pentru a stabili un primordial de citire/scriere la nivel de kernel, permițând unei versiuni actualizate a rootkit-ului FudModule să efectueze manipularea directă a obiectelor de kernel.
Această nouă versiune FudModule vine cu îmbunătățiri semnificative de furt și funcționalitate, inclusiv tehnici noi și actualizate de rootkit pentru evitarea detectării și dezactivarea protecțiilor de securitate AhnLab V3 Endpoint, Windows Defender, CrowdStrike Falcon și HitmanPro.
În timp ce analiza atacurile, Avast a descoperit, de asemenea, un malware RAT (remote access trojan) anterior necunoscut utilizat de Lazarus, care va fi centrul unei prezentări BlackHat Asia în aprilie.
„Cu zero-day-ul lor de la admin la kernel acum epuizat, Lazarus se confruntă cu o provocare semnificativă. Aceștia pot descoperi fie un nou zero-day exploit, fie se pot întoarce la vechile lor tehnici BYOVD,” a spus Avast.
Utilizatorii Windows sunt sfătuiți să instaleze actualizările Patch Tuesday din februarie 2024 cât mai curând posibil pentru a bloca atacurile CVE-2024-21338 ale lui Lazarus.
Leave a Reply