Η Microsoft διορθώθηκε
μι
α ευπάθεια κλιμάκωσης προνομίων πυρήνα των Windows υψηλής σοβαρότητας τον Φεβρουάριο, έξι μήνες αφότου ενημερώθηκε ό
τι
το ελάττωμα εκμεταλλευόταν ως μηδενική ημέρα.
Παρακολούθηση ως
CVE-2024-21338
το ελάττωμα ασφαλείας εντοπίστηκε από τον ανώτερο ερευνητή κακόβουλου λογισμικού της Avast, Jan Vojtěšek στο πρόγραμμα οδήγησης appid.sys Windows AppLocker και αναφέρθηκε στη Microsoft τον περασμένο Αύγουστο ως μηδενική ημέρα που τυγχάνει ενεργής εκμετάλλευσης.
Η ευπάθεια επηρεάζει συστήματα που εκτελούν πολλές εκδόσεις των
Windows 10
και Windows 11 (συμπεριλαμβανομένων των πιο πρόσφατων εκδόσεων), καθώς και των
Windows Server
2019 και 2022.
Η Microsoft εξηγεί ότι η επιτυχημένη εκμετάλλευση επιτρέπει στους τοπικούς εισβολείς να αποκτήσουν προνόμια SYSTEM σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
“Για να εκμεταλλευτεί αυτή την ευπάθεια, ένας εισβολέας θα πρέπει πρώτα να συνδεθεί στο σύστημα. Ένας εισβολέας θα μπορούσε στη συνέχεια να εκτελέσει μια ειδικά δημιουργημένη εφαρμογή που θα μπορούσε να εκμεταλλευτεί την ευπάθεια και να πάρει τον έλεγχο ενός επηρεαζόμενου συστήματος”, δήλωσε ο Redmond
λέει
.
Η εταιρεία επιδιορθώνει την ευπάθεια στις 13 Φεβρουαρίου και ενημέρωσε την προειδοποίηση την Τετάρτη, 28 Φεβρουαρίου, για να επιβεβαιώσει ότι το CVE-2024-21338 είχε γίνει αντικείμενο εκμετάλλευσης στη φύση, αλλά δεν αποκάλυψε λεπτομέρειες σχετικά με τις επιθέσεις.
Επιδιορθώθηκε έξι μήνες μετά
αρχική έκθεση
Ωστόσο, η Avast είπε στο BleepingComputer ότι ο Βορειοκορεάτης
Οι χάκερ της πολιτείας Lazarus έχουν εκμεταλλευτεί το ελάττωμα
σε επιθέσεις ως μηδενική ημέρα τουλάχιστον από τον Αύγουστο του
2023
για να αποκτήσουν πρόσβαση σε επίπεδο πυρήνα και να απενεργοποιήσουν τα εργαλεία ασφαλείας, επιτρέποντάς τους να αποφύγουν τη χρήση τεχνικών BYOVD (Bring Your Own Vulnerable Driver)
“Από την πλευρά του εισβολέα, η διέλευση από τον διαχειριστή στον πυρήνα ανοίγει ένα εντελώς νέο πεδίο δυνατοτήτων. Με την πρόσβαση σε επίπεδο πυρήνα, ένας εισβολέας μπορεί να διακόψει το λογισμικό ασφαλείας, να κρύψει δείκτες μόλυνσης (συμπεριλαμβανομένων αρχείων, δραστηριότητας δικτύου, διεργασιών κ.λπ.), να απενεργοποιήσει τηλεμετρία σε λειτουργία πυρήνα, απενεργοποίηση μετριασμού και πολλά άλλα», εξήγησε η Avast.
“Επιπλέον, καθώς η ασφάλεια του PPL (Protected Process Light) βασίζεται στο όριο διαχειριστή προς πυρήνα, ο υποθετικός εισβολέας μας αποκτά επίσης τη δυνατότητα να παραβιάσει προστατευμένες διαδικασίες ή να προσθέσει προστασία σε μια αυθαίρετη διαδικασία. Αυτό μπορεί να είναι ιδιαίτερα ισχυρό εάν το lsass προστατεύεται με το RunAsPPL, καθώς η παράκαμψη του PPL θα μπορούσε να επιτρέψει στον εισβολέα να απορρίψει διαφορετικά μη προσβάσιμα διαπιστευτήρια.”
Ο Lazarus εκμεταλλεύτηκε το ελάττωμα για να δημιουργήσει ένα πρωτόγονο ανάγνωσης/εγγραφής πυρήνα, επιτρέποντας σε μια ενημερωμένη έκδοση του rootkit του FudModule να εκτελεί άμεσο χειρισμό αντικειμένων πυρήνα.
Αυτή η νέα έκδοση του FudModule συνοδεύεται από σημαντικές βελτιώσεις stealth και λειτουργικότητας, συμπεριλαμβανομένων νέων και ενημερωμένων τεχνικών rootkit για αποφυγή εντοπισμού και απενεργοποίησης των προστασιών ασφαλείας του AhnLab V3 Endpoint Security, του Windows Defender, του CrowdStrike Falcon και του HitmanPro.
Κατά την ανάλυση των επιθέσεων, η Avast ανακάλυψε επίσης ένα κακόβουλο λογισμικό απομακρυσμένης πρόσβασης trojan (RAT) που χρησιμοποιούσε ο Lazarus, το οποίο θα είναι το επίκεντρο ενός
Black Hat Asia
παρουσίαση τον Απρίλιο.
“Με το zero-day του διαχειριστή σε πυρήνα τώρα καμένο, ο Lazarus έρχεται αντιμέτωπος με μια σημαντική πρόκληση. Μπορούν είτε να ανακαλύψουν ένα νέο exploit zero-day είτε να επιστρέψουν στις παλιές τεχνικές BYOVD τους”, είπε η Avast.
Συνιστάται στους χρήστες των Windows να εγκαταστήσουν τις ενημερώσεις της ενημέρωσης κώδικα Τρίτης Φεβρουαρίου 2024 το συντομότερο δυνατό για να αποκλείσουν τις επιθέσεις CVE-2024-21338 του Lazarus.
VIA:
bleepingcomputer.com
