O Home windows 0-day foi explorado pela Coreia do Norte para instalar rootkit avançado


O Home windows 0-day foi explorado pela Coreia do Norte para instalar rootkit avançado

Imagens Getty

Uma vulnerabilidade de dia zero do Home windows corrigida recentemente pela Microsoft foi explorada por hackers que trabalham em nome do governo norte-coreano para que pudessem instalar malware personalizado excepcionalmente furtivo e avançado, relataram pesquisadores na segunda-feira.

A vulnerabilidade, rastreada como CVE-2024-38193foi um dos seis zero-days — ou seja, vulnerabilidades conhecidas ou ativamente exploradas antes que o fornecedor tenha um patch — corrigidos no lançamento de atualização mensal da Microsoft na última terça-feira. A Microsoft disse que a vulnerabilidade — em uma classe conhecida como “use after free” — estava localizada no AFD.sys, o arquivo binário para o que é conhecido como driver de função auxiliar e o ponto de entrada do kernel para a API Winsock. A Microsoft alertou que o zero-day poderia ser explorado para dar aos invasores privilégios de sistema, os direitos máximos de sistema disponíveis no Home windows e um standing necessário para executar código não confiável.

O Lazarus obtém acesso ao kernel do Home windows

A Microsoft alertou na época que a vulnerabilidade estava sendo ativamente explorada, mas não forneceu detalhes sobre quem estava por trás dos ataques ou qual period seu objetivo remaining. Na segunda-feira, pesquisadores da Gen — a empresa de segurança que descobriu os ataques e os relatou privadamente à Microsoft — disseram que os atores da ameaça eram parte do Lazarus, o nome que os pesquisadores usam para rastrear uma organização de hackers apoiada pelo governo norte-coreano.

“A vulnerabilidade permitiu que os invasores ignorassem as restrições normais de segurança e acessassem áreas sensíveis do sistema que a maioria dos usuários e administradores não consegue alcançar”, disseram os pesquisadores da Gen relatado. “Esse tipo de ataque é sofisticado e engenhoso, potencialmente custando várias centenas de milhares de dólares no mercado negro. Isso é preocupante porque ele tem como alvo indivíduos em campos sensíveis, como aqueles que trabalham em engenharia de criptomoedas ou aeroespacial para obter acesso às redes de seus empregadores e roubar criptomoedas para financiar as operações dos invasores.”

A postagem do weblog de segunda-feira disse que o Lazarus estava usando o exploit para instalar o FudModule, um malware sofisticado descoberto e analisado em 2022 por pesquisadores de duas empresas de segurança diferentes: Laboratório Ahn e ESET. Nomeado em homenagem ao arquivo FudModule.dll que antes estava presente em sua tabela de exportação, o FudModule é um tipo de malware conhecido como rootkit. Ele se destacou por sua capacidade de operar robustamente nas profundezas do recesso mais interno do Home windows, um reino que não period amplamente compreendido naquela época ou agora. Essa capacidade permitiu que o FudModule desabilitasse o monitoramento por defesas de segurança internas e externas.

Rootkits são pedaços de malware que têm a capacidade de esconder seus arquivos, processos e outros trabalhos internos do próprio sistema operacional e, ao mesmo tempo, controlar os níveis mais profundos do sistema operacional. Para funcionar, os rootkits devem primeiro obter privilégios de sistema e passar a interagir diretamente com o kernel, a área de um sistema operacional reservada para as funções mais sensíveis. As variantes do FudModule descobertas pela AhnLabs e ESET foram instaladas usando uma técnica chamada “traga seu próprio motorista vulnerávelque envolve a instalação de um driver legítimo com vulnerabilidades conhecidas para obter acesso ao kernel.

No início deste ano, pesquisadores da empresa de segurança Avast detectaram um variante mais recente do FudModule que contornou as principais defesas do Home windows, como Endpoint Detection and Response e Protected Course of Gentle. A Microsoft levou seis meses após a Avast relatar a vulnerabilidade em explicit para corrigi-la, um atraso que permitiu que o Lazarus continuasse a explorá-la.

Enquanto o Lazarus usou “traga seu próprio driver vulnerável” para instalar versões anteriores do FudModule, os membros do grupo instalaram a variante descoberta pela Avast explorando um bug no appid.sys, um driver que habilita o serviço Home windows AppLocker, que vem pré-instalado no Home windows. Os pesquisadores da Avast disseram na época que a vulnerabilidade do Home windows explorada nesses ataques representava um santo graal para os hackers porque period incorporada diretamente no sistema operacional em vez de ter que ser instalada de fontes de terceiros.

Um conglomerado que compreende as marcas Norton, Norton Lifelock, Avast e Avira, entre outras, a Gen não forneceu detalhes críticos, incluindo quando o Lazarus começou a explorar o CVE-2024-38193, quantas organizações foram alvos dos ataques e se a variante mais recente do FudModule foi detectada por quaisquer serviços de proteção de endpoint. Também não há indicadores de comprometimento. Representantes da empresa não responderam aos e-mails.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *