Lazarus sfrutta zero-day di Windows per ottenere i privilegi del Kernel

da Redazione matricedigitale.it
0 commenti 2 minuti leggi
lazarus

Lazarus Group ha sfruttato una vulnerabilitร  zero-day nel driver AppLocker di Windows (appid.sys) per ottenere accesso a livello di kernel e disattivare gli strumenti di sicurezza. Questa attivitร  รจ stata rilevata dagli analisti di Avast, che hanno prontamente segnalato il problema a Microsoft, portando alla correzione della vulnerabilitร , ora tracciata come CVE-2024-21338, come parte degli aggiornamenti di Patch Tuesday di febbraio 2024.

Lazarus ha sfruttato CVE-2024-21338 per creare un primitivo di lettura/scrittura a livello di kernel in una versione aggiornata del suo rootkit FudModule, documentato per la prima volta da ESET alla fine del 2022. La nuova versione di FudModule presenta miglioramenti significativi in termini di furtivitร  e funzionalitร , inclusi nuovi metodi per evitare il rilevamento e disattivare le protezioni di sicurezza come Microsoft Defender e CrowdStrike Falcon.

Inoltre, recuperando la maggior parte della catena di attacco, Avast ha scoperto un RAT (Remote Access Trojan) precedentemente non documentato utilizzato da Lazarus, con ulteriori dettagli che verranno condivisi durante BlackHat Asia ad aprile.

Annunci

Il malware sfrutta una vulnerabilitร  nel driver โ€˜appid.sysโ€™ di Microsoft, componente di Windows AppLocker che offre capacitร  di whitelist delle applicazioni. Lazarus lo sfrutta manipolando il dispatcher IOCTL (Input and Output Control) nel driver appid.sys per chiamare un puntatore arbitrario, ingannando il kernel nellโ€™esecuzione di codice non sicuro, aggirando cosรฌ i controlli di sicurezza.

Il rootkit FudModule, costruito allโ€™interno dello stesso modulo dellโ€™exploit, esegue operazioni di manipolazione diretta degli oggetti del kernel (DKOM) per disattivare i prodotti di sicurezza, nascondere le attivitร  malevole e mantenere la persistenza sul sistema compromesso. I prodotti di sicurezza presi di mira includono AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon e la soluzione anti-malware HitmanPro.

image 277
Lazarus sfrutta zero-day di Windows per ottenere i privilegi del Kernel 7

Avast ha osservato nuove funzionalitร  stealth e capacitร  ampliate nella nuova versione del rootkit, come la possibilitร  di sospendere processi protetti da Protected Process Light (PPL) manipolando le voci della tabella degli handle, interruzioni selettive e mirate tramite DKOM, miglioramenti nel manomettere il Driver Signature Enforcement e Secure Boot, e altro ancora.

Avast sottolinea che questa nuova tattica di exploit segna unโ€™evoluzione significativa nelle capacitร  di accesso al kernel dellโ€™attore della minaccia, consentendo loro di lanciare attacchi piรน furtivi e persistere sui sistemi compromessi per periodi piรน lunghi.

Lโ€™unica misura di sicurezza efficace รจ applicare gli aggiornamenti di Patch Tuesday di febbraio 2024 il prima possibile, poichรฉ lo sfruttamento di un driver integrato in Windows da parte di Lazarus rende lโ€™attacco particolarmente difficile da rilevare e fermare.

Si puรฒ anche come

MatriceDigitale.it – Copyright ยฉ 2024, Livio Varriale – Registrazione Tribunale di Napoli nยฐ 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love byย Giuseppe Ferrara