BIZIT plus

Hakeri poznati kao Lazarus grupa iskoristili su Windows zero-day ranjivost kako bi stekli kernel privilegije

Hakeri poznati kao Lazarus grupa iskoristili su ranjivost u Windows AppLocker drajveru (appid.sys) kao zero-day kako bi stekli pristup kernelu i isključili sigurnosne alate. 

PCPress.rs Image

Jedina efikasna sigurnosna mera je primena ažuriranja iz februara 2024. što je pre moguće

To im je omogućilo da zaobiđu bučne tehnike BYOVD (Bring Your Own Vulnerable Driver).

Ovu aktivnost su otkrili analitičari Avasta, koji su odmah obavestili Microsoft, što je dovelo do ispravke greške, sada praćene kao CVE-2024-21338, kao deo zakrpe iz februara 2024. Međutim, Microsoft nije označio ovu grešku kao zero-day iskorišćenu.

Avast izveštava da je Lazarus iskoristio CVE-2024-21338 kako bi stvorio čitanje/pisanje jezgru u ažuriranoj verziji svog rootkit-a FudModule, koji je ESET prvi dokumentovao krajem 2022. Prethodno je rootkit zloupotrebljavao Dell drajver za BYOVD napade.

Nova verzija FudModule-a ima značajna poboljšanja u kamuflaži i funkcionalnosti, uključujući nove i ažurirane tehnike za izbegavanje otkrivanja i isključivanje sigurnosnih zaštita poput Microsoft Defender-a i CrowdStrike Falcon-a.

Osim toga, Avast je otkrio do tada nepoznati Trojanca za daljinski pristup (RAT) koji koristi Lazarus, o čemu će više detalja podeliti na konferenciji BlackHat Asia u aprilu.

Pročitajte i:  Ovaj dobro poznati Windows dodatak koristi privremeni kod već 30 godina

Iskorišćavanje Lazarus 0-day ranjivosti

Malver je iskoristio ranjivost u Microsoft-ovom ‘appid.sys’ drajveru, komponenti Windows AppLocker-a koja omogućava belu listu aplikacija.

Lazarus je iskoristio manipulaciju Input and Output Control (IOCTL) dispečera u appid.sys drajveru kako bi pozvao proizvoljni pokazivač, prevareći kernel da izvrši nesiguran kod, čime se zaobilaze sigurnosne provere.

Rootkit FudModule, izgrađen unutar istog modula kao i iskorišćavanje, izvršava operacije direktnog manipulisanja kernelom (DKOM) kako bi isključio sigurnosne proizvode, sakrio zlonamerne aktivnosti i održavao upornost na kompromitovanom sistemu.

Ciljani sigurnosni proizvodi su AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon i HitmanPro antimalver rešenje.

Avast je primetio nove funkcije kamuflaže i proširene mogućnosti u novoj verziji rootkit-a, poput mogućnosti sumnje u procese zaštićene PPL-om (Protected Process Light) manipulacijom unosa tabele rukovaoca, selektivne i ciljane prekide putem DKOM-a, poboljšanja u manipulaciji sa potpisima drajvera i Secure Boot-om, i još mnogo toga.

Avast napominje da ova nova taktika iskorišćavanja predstavlja značajnu evoluciju u sposobnostima pristupa jezgru napadača, omogućavajući im da pokrenu stealthier napade i ostanu prisutni na kompromitovanim sistemima duže vreme.

Pročitajte i:  Da zaboravimo (na) lozinke

Jedina efikasna sigurnosna mera je primena ažuriranja iz februara 2024. što je pre moguće, jer iskorišćavanje Windows-ovog ugrađenog drajvera od strane Lazarus-a čini napad posebno teškim za otkrivanje i zaustavljanje.

Izvor: Bleepingcomputer

Facebook komentari:

Leave a Reply

Your email address will not be published. Required fields are marked *