Uma falha de segurança recém-descoberta no Microsoft Windows foi explorada como dia zero pelo Grupo Lazarus, um ator patrocinado pelo Estado aliado da Coreia do Norte.
Vulnerabilidade de segurança, rastreada como CVE-2024-38193 (pontuação CVSS: 7,8), foi descrito como um bug de elevação de privilégio no driver de função auxiliar do Windows (AFD.sys) para WinSock.
“Um invasor que explorar com sucesso esta vulnerabilidade poderá obter privilégios de SYSTEM”, disse a Microsoft em um comunicado sobre a falha na semana passada. Foi hospedado pela gigante da tecnologia como parte de sua atualização mensal Patch Tuesday.
Os pesquisadores da Gen Digital, Luigino Camastra e Milánek, são creditados pela descoberta e relato do bug. A Gen Digital possui vários produtos e utilitários de software de segurança, como Norton, Avast, Avira, AVG, ReputationDefender e CCleaner.
“Esta falha permitiu-lhes obter acesso não autorizado a áreas sensíveis do sistema”, revelou a empresa na semana passada, acrescentando que descobriu a exploração no início de junho de 2024. Os administradores não têm acesso.”
O fornecedor de segurança cibernética também observou que o ataque parecia usar um rootkit chamado FudModule na tentativa de evitar a detecção.
Embora os detalhes técnicos associados à intrusão ainda não sejam conhecidos, a vulnerabilidade lembra-nos outro privilégio crescente que foi preparado pela Microsoft em fevereiro de 2024 e armado pelo Grupo Lazarus para se desfazer do FudModule.
Especificamente, incluiu o exploit CVE-2024-21338 (pontuação CVSS: 7,8), que é uma falha de privilégio do kernel do Windows focada no driver AppLocker (appid.sys) que torna possível executar código arbitrário para evitar todas as verificações de segurança. e usa o rootkit FudModule.
Ambos os ataques são notáveis porque vão além dos ataques tradicionais Traga seu próprio driver vulnerável (BYOVD), aproveitando uma falha de segurança em um driver já instalado no host do Windows, em vez de “trazer” um driver vulnerável e usá-lo para contornar a segurança medidas.
Ataques anteriores descritos pela empresa de segurança cibernética Avast revelaram que o rootkit foi entregue usando um trojan de acesso remoto conhecido como Kaolin RAT.
“O FuudModule está apenas vagamente integrado ao resto do ecossistema de malware do Lazarus”, disse a empresa tcheca na época, acrescentando que “o Lazarus é muito cauteloso ao usar um rootkit, ele só o usa sob demanda nas circunstâncias certas”.
