Các hacker khét tiếng của Lazarus Group đã khai thác lỗ hổng leo thang đặc quyền được vá gần đây trong Windows Kernel dưới dạng zero-day để có được quyền truy cập cấp kernel và vô hiệu hóa phần mềm bảo mật trên các máy chủ bị xâm nhập.
Lỗ hổng được đề cập là CVE-2024-21338 (điểm CVSS: 7,8), có thể cho phép kẻ tấn công giành được các đặc quyền HỆ THỐNG. Nó đã được Microsoft giải quyết vào đầu tháng này như một phần của bản cập nhật Patch Tuesday .
“Để khai thác lỗ hổng này, trước tiên kẻ tấn công phải đăng nhập vào hệ thống”, Microsoft cho biết . “Kẻ tấn công sau đó có thể chạy một ứng dụng được chế tạo đặc biệt để khai thác lỗ hổng và chiếm quyền kiểm soát hệ thống bị ảnh hưởng.”
Mặc dù không có dấu hiệu nào về việc khai thác tích cực CVE-2024-21338 tại thời điểm phát hành bản cập nhật, Redmond hôm thứ Tư đã sửa đổi “Đánh giá khả năng khai thác” đối với lỗ hổng thành “Đã phát hiện khai thác”.
Hiện vẫn chưa rõ thời điểm các cuộc tấn công diễn ra nhưng lỗ hổng này được cho là đã xuất hiện trong Window 10, phiên bản 1703 (RS2/15063) khi trình xử lý 0x22A018 IOCTL (viết tắt của điều khiển đầu vào/đầu ra) lần đầu tiên được triển khai.
Nhà cung cấp an ninh mạng Avast, người đã phát hiện ra lỗi khai thác lỗ hổng quản trị viên trên nhân thực tế, cho biết nguyên tắc đọc/ghi kernel đạt được bằng cách vũ khí hóa lỗ hổng đã cho phép Nhóm Lazarus "thực hiện thao tác đối tượng kernel trực tiếp trong phiên bản cập nhật của rootkit FudModule chỉ có dữ liệu của họ."
Rootkit FudModule lần đầu tiên được ESET và AhnLab báo cáo vào tháng 10 năm 2022 là có khả năng vô hiệu hóa tính năng giám sát tất cả các giải pháp bảo mật trên các máy chủ bị nhiễm bằng phương thức tấn công mang tên Trình điều khiển dễ bị tổn thương của riêng bạn (BYOVD), trong đó kẻ tấn công cấy một trình điều khiển dễ bị tấn công một lỗ hổng đã biết hoặc lỗ hổng zero-day để leo thang đặc quyền.
Điều khiến cuộc tấn công mới nhất trở nên quan trọng là nó “vượt xa BYOVD bằng cách khai thác lỗ hổng zero-day trong trình điều khiển được biết là đã được cài đặt trên máy mục tiêu”. Trình điều khiển dễ bị tấn công đó là appid.sys, rất quan trọng đối với hoạt động của thành phần Windows có tên AppLocker chịu trách nhiệm kiểm soát ứng dụng.
Cách khai thác trong thế giới thực do Nhóm Lazarus nghĩ ra đòi hỏi phải sử dụng CVE-2024-21338 trong trình điều khiển appid.sys để thực thi mã tùy ý theo cách bỏ qua mọi kiểm tra bảo mật và chạy rootkit FudModule.
Nhà nghiên cứu bảo mật Jan Vojtěšek cho biết: “FudModule chỉ được tích hợp lỏng lẻo vào phần còn lại của hệ sinh thái phần mềm độc hại của Lazarus và Lazarus rất cẩn thận trong việc sử dụng rootkit, chỉ triển khai nó theo yêu cầu trong những trường hợp phù hợp”.
Bên cạnh việc thực hiện các bước để phát hiện bước tránh bằng cách vô hiệu hóa trình ghi nhật ký hệ thống, FudModule còn được thiết kế để tắt phần mềm bảo mật cụ thể như AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro và Microsoft Defender Antivirus (trước đây là Windows Defender).
Trọng tâm đa nền tảng của tập thể đối thủ cũng được minh chứng bằng thực tế là người ta đã quan sát thấy nó sử dụng các liên kết mời họp trên lịch giả để lén cài đặt phần mềm độc hại trên hệ thống macOS của Apple, một chiến dịch đã được SlowMist ghi lại trước đó vào tháng 12 năm 2023.