Microsoft no pudo actualizar una vulnerabilidad de día cero que afectaba a Windows AppLocker y que permitía a los atacantes eludir el límite entre el administrador y el kernel durante meses, a pesar de haber sido notificados de que la falla estaba bajo explotación activa, según muestra una investigación. Un informe de los especialistas en seguridad Avast describió los detalles de la vulnerabilidad, CVE-2024-21338, así como las actividades de explotación del Grupo Lazarus. La cronología de los eventos muestra que Microsoft dejó la falla sin parchear durante seis meses, lo que le dio al grupo tiempo para desarrollar una prueba de concepto (PoC) particularmente sigilosa y efectiva para inyectar malware FudModule en los sistemas de destino. CVE-2024-21338, catalogado como de alta gravedad con un CVSS de 7.8 en la base de datos Nacional de Vulnerabilidad, es una falla de elevación de privilegios del kernel de Windows que podría explotarse para lanzar ataques de rootkit, según Avast. En una actualización de seguridad publicada en febrero que describe los detalles de la falla, Microsoft advirtió que si tiene éxito Si se explota, la vulnerabilidad podría permitir a un atacante obtener privilegios del sistema. Avast declaró que desarrolló y envió un exploit PoC personalizado a Microsoft que revela el acceso significativo que la falla podría ofrecer a posibles actores de amenazas si se explota de la manera correcta en agosto de 2023. La divulgación incluyó información mostrar que la falla estaba siendo explotada activamente por actores de amenazas en la naturaleza, según Avast, lo que generó preguntas sobre por qué Microsoft tardó tanto en remediar la amenaza. Se lanzó un parche para la vulnerabilidad en la actualización de seguridad de febrero de 2024, pero no se incluyó cualquier información sobre la falla siendo explotada activamente por actores de amenazas. Fue necesario que Avast publicara los detalles del exploit de Lazarus dos semanas después para que el hiperescalador actualizara su versión de seguridad con detalles relevantes sobre la técnica de ataque. Yendo más allá de BYOVD para alcanzar el “santo grial” «de ataques de administrador al kernel. Esta falla particular permite a los piratas informáticos establecer una primitiva de lectura/escritura del kernel, que fue utilizada por el grupo Lazarus para realizar manipulación directa de objetos del kernel en una nueva iteración de su rootkit FudModule de solo datos. Avast dijo después de su Los equipos habían realizado ingeniería inversa completa en la variante de rootkit actualizada, observaron una serie de mejoras en versiones anteriores con mejor funcionalidad y propiedades sigilosas, y cuatro técnicas de rootkit totalmente nuevas. Un avance en la nueva versión es el uso de una nueva técnica de manipulación de entrada en la tabla de identificadores. suspender procesos de Protected Process Light (PPL) vinculados a software antivirus popular como Microsoft Defender, CrowdStrike Falcon y HitmanPro. Mientras que Lazarus Group era conocido anteriormente por su uso de técnicas de «traiga su propio controlador vulnerable» (BYOVD) para obtener privilegios a nivel de kernel. escalada, en este caso explotaron una vulnerabilidad de día cero ya instalada en la máquina de destino y, por lo tanto, pudieron renunciar al enfoque «mucho más ruidoso». Jan Vojtěšek, autor del informe Avast, dijo que el Grupo Lazarus sigue siendo uno de los más exitosos y colectivos de piratería experimentados en operación, y señaló que el grupo aún puede sorprender a los investigadores de seguridad a pesar de que sus tácticas están bien publicitadas. “El Grupo Lazarus sigue siendo uno de los actores de amenazas persistentes avanzadas más prolíficos y de larga data. Aunque sus tácticas y técnicas distintivas ya son bien reconocidas, en ocasiones todavía logran sorprendernos con un nivel inesperado de sofisticación técnica”, dijo. “El rootkit FudModule sirve como el último ejemplo y representa una de las herramientas más complejas de Lazarus. tiene en su arsenal”. Vojtěšek dijo que ahora que el parche neutraliza esta oportunidad específica, el grupo puede optar por volver a sus métodos de ataque BYOVD anteriores o continuar buscando días cero listos para ser explotados. “Con su administrador a- El kernel de día cero ahora está quemado, Lazarus se enfrenta a un desafío importante. Pueden descubrir un nuevo exploit de día cero o volver a sus antiguas técnicas BYOVD”.

Source link