Hackers do Lazarus exploram falha zero-dia do Windows para ganhar privilégios de kernel
Hackers norte-coreanos conhecidos como Grupo Lazarus exploraram uma falha no driver do Windows AppLocker (appid.sys) como um ataque zero-day para obter acesso ao nível de kernel e desativar ferramentas de segurança, permitindo-lhes contornar as técnicas BYOVD (Bring Your Own Vulnerable Driver).
Essa atividade foi detectada por analistas da Avast, que prontamente a relataram à Microsoft, que corrigiu a falha, identificada como CVE-2024-21338, como parte do Patch Tuesday de fevereiro de 2024. A Microsoft, no entanto, não identificou como sendo uma falha zero-day.
A Avast relata que o grupo Lazarus explorou a CVE-2024-21338 para criar um kernel primitivo de leitura/gravação em uma versão atualizada de seu rootkit FudModule, que a ESET documentou pela primeira vez no final de 2022. Anteriormente, o rootkit utilziada um driver Dell para ataques BYOVD.
A nova versão do FudModule apresenta melhorias significativas em ocultação e funcionalidade, incluindo novas técnicas e atualizações para evadir a detecção e desativar proteções de segurança como Microsoft Defender e CrowdStrike Falcon.
Além disso, ao recuperar a maioria da cadeia de ataque, a Avast descobriu um Trojan de acesso remoto (RAT) não documentado anteriormente usado pelo Lazarus, sobre o qual a empresa de segurança prometeu compartilhar mais detalhes na BlackHat Asia em abril.
O malware explorou uma vulnerabilidade no driver 'appid.sys' da Microsoft, um componente do Windows AppLocker que fornece recursos de lista de permissões de aplicativos.
O Lazarus o explora manipulando o dispatcher de Controle de Entrada e Saída (IOCTL) no driver appid.sys para chamar um ponteiro arbitrário, enganando o kernel para executar código inseguro, contornando assim as verificações de segurança.
O rootkit FudModule, construído dentro do mesmo módulo que o exploit, executa operações de manipulação direta de objeto do kernel (DKOM) para desativar produtos de segurança, ocultar atividades maliciosas e manter a persistência no sistema violado.
Os produtos de segurança direcionados são AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon e a solução anti-malware HitmanPro.
A Avast observou novos recursos de ocultação e capacidades expandidas na nova versão do rootkit, como a capacidade de suspeitar de processos protegidos pelo Protected Process Light (PPL) manipulando entradas da tabela de identificadores, interrupção seletiva e direcionada via DKOM, aprimoramentos na adulteração do Driver Signature Enforcement e Secure Boot e muito mais.
A Avast observa que esta nova tática de exploração marca uma evolução significativa nas capacidades de acesso ao kernel pelos hackers, permitindo-lhes lançar ataques mais furtivos e persistir em sistemas comprometidos por períodos mais longos.
A única medida de segurança eficaz é aplicar as atualizações do Patch Tuesday de fevereiro de 2024 o mais rápido possível, pois a exploração de um driver embutido do Windows pelo Lazarus torna o ataque particularmente desafiador de detectar e parar.
Regras YARA para detectar atividades vinculadas à versão mais recente do rootkit FudModule podem ser encontradas aqui: link para as regras YARA.
Via - Bleeping Computer
Kommentare