Getty Images Una vulnerabilidad de día cero de Windows recientemente parcheada por Microsoft fue explotada por piratas informáticos que trabajaban en nombre del gobierno de Corea del Norte para poder instalar malware personalizado que es excepcionalmente sigiloso y avanzado, informaron los investigadores el lunes. La vulnerabilidad, identificada como CVE-2024-38193, fue una de las seis vulnerabilidades de día cero (es decir, vulnerabilidades conocidas o explotadas activamente antes de que el proveedor tenga un parche) corregidas en la actualización mensual publicada el martes pasado. Microsoft dijo que la vulnerabilidad (en una clase conocida como «use after free») estaba ubicada en AFD.sys, el archivo binario para lo que se conoce como el controlador de función auxiliar y el punto de entrada del kernel para la API Winsock. Microsoft advirtió que el día cero podría explotarse para dar a los atacantes privilegios del sistema, los derechos de sistema máximos disponibles en Windows y un estado requerido para ejecutar código no confiable. Lazarus obtiene acceso al kernel de Windows Microsoft advirtió en ese momento que la vulnerabilidad estaba siendo explotada activamente, pero no proporcionó detalles sobre quién estaba detrás de los ataques o cuál era su objetivo final. El lunes, los investigadores de Gen (la empresa de seguridad que descubrió los ataques y los informó de forma privada a Microsoft) dijeron que los actores de la amenaza eran parte de Lazarus, el nombre que usan los investigadores para rastrear a un grupo de piratas informáticos respaldado por el gobierno de Corea del Norte. “La vulnerabilidad permitió a los atacantes eludir las restricciones de seguridad normales y acceder a áreas sensibles del sistema a las que la mayoría de los usuarios y administradores no pueden acceder”, informaron los investigadores de Gen. “Este tipo de ataque es sofisticado e ingenioso, y puede costar varios cientos de miles de dólares en el mercado negro. Esto es preocupante porque se dirige a personas en campos sensibles, como las que trabajan en ingeniería de criptomonedas o aeroespacial, para obtener acceso a las redes de su empleador y robar criptomonedas para financiar las operaciones de los atacantes”. La publicación del blog del lunes decía que Lazarus estaba usando el exploit para instalar FudModule, un sofisticado malware descubierto y analizado en 2022 por investigadores de dos empresas de seguridad independientes: AhnLab y ESET. FudModule, que lleva el nombre del archivo FudModule.dll que alguna vez estuvo presente en su tabla de exportación, es un tipo de malware conocido como rootkit. Se destacó por su capacidad de operar de manera robusta en lo más profundo de Windows, un ámbito que no era ampliamente comprendido entonces ni ahora. Esa capacidad le permitió a FudModule deshabilitar la monitorización tanto de las defensas de seguridad internas como externas. Los rootkits son piezas de malware que tienen la capacidad de ocultar sus archivos, procesos y otros mecanismos internos del propio sistema operativo y, al mismo tiempo, controlar los niveles más profundos del sistema operativo. Para funcionar, los rootkits primero deben obtener privilegios del sistema y luego interactuar directamente con el núcleo, el área de un sistema operativo reservada para las funciones más sensibles. Las variantes de FudModule descubiertas por AhnLabs y ESET se instalaron utilizando una técnica llamada «traiga su propio controlador vulnerable», que implica instalar un controlador legítimo con vulnerabilidades conocidas para obtener acceso al núcleo. A principios de este año, los investigadores de la empresa de seguridad Avast detectaron una variante más nueva de FudModule que eludió las defensas clave de Windows, como Endpoint Detection and Response y Protected Process Light. Microsoft tardó seis meses en solucionar la vulnerabilidad después de que Avast informara de forma privada sobre ella, un retraso que permitió a Lazarus seguir explotándola. Mientras que Lazarus utilizó el método «traiga su propio controlador vulnerable» para instalar versiones anteriores de FudModule, los miembros del grupo instalaron la variante descubierta por Avast explotando un error en appid.sys, un controlador que habilita el servicio Windows AppLocker, que viene preinstalado en Windows. Los investigadores de Avast dijeron en ese momento que la vulnerabilidad de Windows explotada en esos ataques representaba un santo grial para los piratas informáticos porque estaba integrada directamente en el sistema operativo en lugar de tener que instalarse desde fuentes de terceros. Gen, un conglomerado que comprende las marcas Norton, Norton Lifelock, Avast y Avira, entre otras, no proporcionó detalles críticos, incluido cuándo comenzó Lazarus a explotar CVE-2024-38193, cuántas organizaciones fueron el objetivo de los ataques y si la última variante de FudModule fue detectada por algún servicio de protección de endpoints. Tampoco hay indicadores de compromiso. Los representantes de la empresa no respondieron a los correos electrónicos.