El Grupo Lazarus, un prolífico actor patrocinado por un estado afiliado a Corea del Norte, aprovechó con éxito una vulnerabilidad recientemente parchada en Microsoft Windows como zero-day. La vulnerabilidad, etiquetada como CVE-2024-38193 con una puntuación CVSS de 7.8, se refiere a un fallo de escalada de privilegios en el Controlador de Funciones Auxiliares de Windows (AFD.sys) para WinSock.
Según Microsoft, un atacante que explotara esta vulnerabilidad podría obtener privilegios del SISTEMA. El gigante tecnológico abordó este fallo como parte de su actualización mensual del Martes de Parches. Los investigadores de Gen Digital, Luigino Camastra y Milánek, fueron los encargados de descubrir y reportar el fallo. La vulnerabilidad permitió a los atacantes evadir las restricciones de seguridad normales y acceder a áreas sensibles del sistema a las que la mayoría de usuarios y administradores no pueden llegar. La empresa descubrió la explotación a principios de junio de 2024.
Los ataques se caracterizaron por el uso de un rootkit llamado FudModule en un intento de evadir la detección. La vulnerabilidad es similar a otra falla de escalada de privilegios que Microsoft corrigió en febrero de 2024, CVE-2024-21338 con una puntuación CVSS de 7.8, que también fue aprovechada por el Grupo Lazarus para implementar FudModule.
Ambos ataques van más allá de un ataque tradicional de Bring Your Own Vulnerable Driver (BYOVD) al aprovechar una falla de seguridad en un controlador ya instalado en un host de Windows en lugar de «llevar» un controlador susceptible y usarlo para eludir las medidas de seguridad. Los ataques anteriores revelaron que el rootkit es entregado mediante un troyano de acceso remoto conocido como Kaolin RAT.
Vía The Hacker News
