Lazarus Group , plodni glumac koji sponzoriše država i povezan sa Sjevernom Korejom, iskoristio je novozakrpljenu bezbjednosnu grešku u Microsoft Windows-u kao nulti dan.
Sigurnosna ranjivost, praćena kao CVE-2024-38193 (CVSS rezultat: 7,8), opisana je kao greška eskalacije privilegija u upravljačkom programu Windows pomoćnih funkcija (AFD.sys) za WinSock.
“Napadač koji je uspješno iskoristio ovu ranjivost mogao bi dobiti privilegije SISTEMA”, rekao je Microsoft u prošlosedmičnom savjetovanju o propustu. Tehnološki gigant se bavio time u sklopu svog mjesečnog ažuriranja Patch Tuesday .
Zaslužni za otkrivanje i prijavljivanje greške su istraživači Gen Digitala Luigino Camastra i Milánek. Gen Digital posjeduje brojne brendove sigurnosnog i uslužnog softvera kao što su Norton, Avast, Avira, AVG, ReputationDefender i CCleaner.
“Ovaj nedostatak im je omogućio da dobiju neovlašteni pristup osjetljivim sistemskim područjima”, objavila je kompanija prošle sedmice, dodajući da je otkrila eksploataciju početkom juna 2024. “Ranjivost je omogućila napadačima da zaobiđu normalna sigurnosna ograničenja i pristupe osjetljivim sistemskim područjima koja većina korisnika i administratori ne mogu doći.”
Prodavac sajber-sigurnosti je dalje primijetio da su napadi okarakterizirani upotrebom rootkita pod nazivom FudModule u pokušaju da se izbjegne otkrivanje.
Iako su tačni tehnički detalji povezani sa upadima trenutno nepoznati, ranjivost podsjeća na još jednu eskalaciju privilegija koju je Microsoft popravio u februaru 2024. i koju je Lazarus grupa također naoružala da izbaci FudModule.
Konkretno, to je podrazumijevalo eksploataciju CVE-2024-21338 (CVSS rezultat: 7,8), greške u eskalaciji privilegija Windows kernela ukorijenjene u upravljačkom programu AppLocker (appid.sys) koja omogućava izvršavanje proizvoljnog koda tako da zaobiđe sve sigurnosne provjere i pokreće FudModule rootkit.
Oba ova napada su značajna jer nadilaze tradicionalni napad Bring Your Own Vulnerable Driver (BYOVD) tako što iskorištavaju sigurnosnu grešku u drajveru koji je već instaliran na Windows hostu za razliku od “dovođenja” osjetljivog drajvera i njegovog korištenja za zaobići sigurnosne mjere.
Prethodni napadi koje je detaljno objasnila firma za sajber bezbednost Avast otkrili su da se rootkit isporučuje pomoću trojana za daljinski pristup poznatog kao Kaolin RAT .
„FudModule je samo labavo integrisan u ostatak Lazarusovog ekosistema malvera“, saopštila je češka kompanija u to vreme, navodeći „Lazarus je veoma oprezan u korišćenju rootkita, samo ga primenjuje na zahtev pod pravim okolnostima“.
Izvor: TheHackerNews
