Microsoft ha risolto una vulnerabilità critica nel Kernel di Windows, che permetteva l’escalation dei privilegi, a febbraio, sei mesi dopo aver ricevuto la segnalazione che il difetto veniva sfruttato come zero-day.
Identificata come CVE-2024-21338, la falla di sicurezza, scoperta da Jan Vojtěšek, Senior Malware Researcher di Avast, riguardava il driver appid.sys di Windows AppLocker e fu segnalata a Microsoft ad agosto come zero-day attivamente sfruttato.
La vulnerabilità interessava sistemi con varie versioni di Windows 10 e Windows 11, inclusi gli ultimi rilasci, così come Windows Server 2019 e 2022. L’exploit di questa falla permetteva agli attaccanti locali di ottenere privilegi SYSTEM attraverso attacchi di bassa complessità senza necessità di interazione con l’utente.
Microsoft ha corretto la vulnerabilità il 13 febbraio e ha aggiornato l’avviso il 28 febbraio per confermare che CVE-2024-21338 era stata sfruttata nel mondo reale, senza però divulgare dettagli sugli attacchi.
Con la vulnerabilità admin-to-kernel ora esposta, Lazarus si trova di fronte a una sfida significativa: dovrà trovare un nuovo exploit zero-day o tornare alle precedenti tecniche BYOVD.
Gli utenti Windows sono invitati ad installare gli aggiornamenti del Patch Tuesday di febbraio 2024 il prima possibile per proteggersi dagli attacchi sfruttanti CVE-2024-21338 da parte di Lazarus.