El grupo Lazarus ha conseguido explotar una vulnerabilidad de escalada de privilegios en el Kernel de Windows que había sido recientemente parcheada como zero-day para obtener acceso de nivel kernel y deshabilitar el software de seguridad en los hosts comprometidos. La vulnerabilidad CVE-2024-21338 (puntuación CVSS: 7,8) fue resuelta por Microsoft a principios de este mes como parte de las actualizaciones del «Patch Tuesday«. Microsoft explicó que para explotar esta vulnerabilidad, el atacante debería haber iniciado sesión en el sistema y luego ejecutar una aplicación especialmente diseñada que explotará la vulnerabilidad y tomará el control del sistema afectado.
Aunque no hubo indicios de explotación activa de CVE-2024-21338 al momento del lanzamiento de las actualizaciones, Microsoft revisó su «Evaluación de explotabilidad» de la falla a «Detección de explotación» el miércoles. Avast descubrió la explotación real de la falla por parte de un administrador en un exploit libre para el kernel. Se dice que la vulnerabilidad se introdujo en la versión 1703 (RS2/15063) de Windows 10.
Lo que hace que el último ataque sea significativo es que va «más allá de BYOVD al explotar un zero-day en un controlador que se sabe que ya está instalado en la máquina objetivo». Ese controlador susceptible es appid.sys, que es crucial para el funcionamiento de un componente de Windows llamado AppLocker responsable del control de aplicaciones. Además de tomar medidas para eludir la detección mediante la desactivación de los registradores del sistema, FudModule está diseñado para desactivar software de seguridad específico como AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro y Microsoft Defender Antivirus (anteriormente Windows Defender).
Este desarrollo marca un nuevo nivel de sofisticación técnica asociado con los grupos de hackers norcoreanos. El enfoque interplataforma del colectivo adversario también se ejemplifica por el hecho de que se ha observado que ha utilizado vínculos falsos de invitación a reuniones de calendario para instalar sigilosamente malware en sistemas Apple macOS, una campaña que fue documentada previamente por SlowMist en diciembre de 2023. El grupo Lazarus sigue siendo uno de los actores de amenazas persistentes avanzadas más prolíficos y longevos, y El rootkit FudModule sirve como el último ejemplo, representando una de las herramientas más complejas que Lazarus maneja en su arsenal.
Vía The Hacker News
