I criminali di Lazarus sfruttano uno 0day di Windows e arrivano al kernel
I noti cybercriminali di Lazarus Group hanno sfruttato una falla di privilege escalation nel kernel di Windows per ottenere l’accesso a livello di kernel e disabilitare il software di sicurezza sugli host compromessi. La vulnerabilità in questione, risolta da Microsoft il mese scorso con gli aggiornamenti del Patch Tuesday, è contrassegnata come CVE-2024-21338 (punteggio CVSS: 7,8) e può consentire a un aggressore di ottenere i privilegi di sistema.
“Per sfruttare questa vulnerabilità, un utente malintenzionato dovrebbe innanzitutto accedere al sistema”, ha scritto Microsoft. “Un aggressore potrebbe quindi eseguire un’applicazione appositamente creata per sfruttare la vulnerabilità e prendere il controllo del sistema interessato”.
Sebbene non vi fossero indicazioni di sfruttamento attivo di CVE-2024-21338 quando sono stati rilasciati gli aggiornamenti, due giorni fa Microsoft ha rivisto la sua valutazione di sfruttabilità per la vulnerabilità cambiandola in Exploitation Detected. Al momento non è chiaro quando siano avvenuti gli attacchi, ma la vulnerabilità sarebbe stata introdotta in Window 10 versione 1703 (RS2/15063) quando è stato implementato per la prima volta il gestore IOCTL (input/output control) 0x22A018.
Stando a quanto scoperto da Avast, Lazarus ha sfruttato la vulnerabilità per creare un primitivo di lettura/scrittura a livello di kernel in una versione aggiornata del suo rootkit FudModule, documentato per la prima volta da ESET alla fine del 2022. La nuova versione di FudModule presenta miglioramenti significativi in termini di furtività e funzionalità, inclusi nuovi metodi per evitare il rilevamento e disattivare le protezioni di sicurezza come Microsoft Defender e CrowdStrike Falcon.
Ciò che rende significativo questo attacco è che sfrutta uno zero-day in un driver noto per essere già installato sul computer di destinazione”. Il driver in questione è appid.sys, che è fondamentale per il funzionamento di un componente di Windows chiamato AppLocker, responsabile del controllo delle applicazioni. Questa nuova tattica di attacco, oltre a testimoniare le elaborate tecniche impiegate per ostacolare il rilevamento e rendere più difficile la loro localizzazione, segna un nuovo livello di sofisticazione tecnica associata a Lazarus Group, che itera continuamente il suo arsenale per migliorarne la furtività e la funzionalità.
“Lazarus Group rimane uno dei più prolifici e longevi attori di minacce avanzate persistenti. Il rootkit FudModule ne è l’ultimo esempio e rappresenta uno degli strumenti più complessi che Lazarus ha nel suo arsenale” ha dichiarato Jan Vojtěšek, ricercatore di sicurezza di Avast.