Le bug du noyau Windows a été corrigé le mois dernier et est exploité comme un jour zéro depuis août

Microsoft a corrigé une vulnérabilité d'élévation de privilèges du noyau Windows de haute gravité en février, six mois après avoir signalé l'exploit comme étant un jour zéro.

Suivre comme CVE-2024-21338la faille de sécurité a été découverte par Jan Vojtěšek, chercheur principal en logiciels malveillants chez Avast, dans le pilote Windows AppLocker appid.sys et a été signalée à Microsoft en août dernier comme une vulnérabilité Zero Day activement exploitée.

La vulnérabilité affecte les systèmes exécutant plusieurs versions de Windows 10 et Windows 11 (y compris les dernières versions), ainsi que Windows Server 2019 et 2022.

Microsoft explique qu'un exploit réussi permet aux attaquants locaux d'obtenir des privilèges système dans le cadre d'attaques de faible complexité qui ne nécessitent pas d'interaction de l'utilisateur.

« Pour exploiter cette vulnérabilité, un attaquant doit d'abord se connecter au système. L'attaquant peut ensuite exécuter une application spécialement conçue qui peut exploiter la vulnérabilité et prendre le contrôle du système affecté », a déclaré Redmond. Il dit.

La société a corrigé la vulnérabilité le 13 février et a mis à jour l'avis le mercredi 28 février pour confirmer que CVE-2024-21338 avait été exploité de manière aléatoire, mais n'a révélé aucun détail concernant les attaques.

Cela a été corrigé six mois plus tard Compte-rendu initial

Cependant, Avast a déclaré à BleepingComputer que la Corée du Nord Les pirates de Lazarus State ont exploité cette faille Dans des attaques comme Zero Day depuis au moins août 2023 pour obtenir un accès au niveau du noyau et désactiver les outils de sécurité, leur permettant ainsi d'éviter d'utiliser des techniques BYOVD (Bring Your Own Vulnerable Driver) plus faciles à détecter.

« Du point de vue d'un attaquant, passer de l'administrateur au noyau ouvre un tout nouveau domaine de possibilités. En accédant au niveau du noyau, un attaquant peut désactiver les logiciels de sécurité, masquer les indicateurs d'infection (y compris les fichiers, l'activité réseau, les processus, etc.) , Avast désactive la télémétrie en mode noyau, arrête les processus d'atténuation, etc.

« De plus, étant donné que la sécurité PPL (Protected Process Light) repose sur les limites de l'administrateur au noyau, notre attaquant hypothétique obtient également la possibilité de falsifier les processus protégés ou d'ajouter une protection à un processus arbitraire. Cela peut être particulièrement puissant si lsass est protégé. en utilisant RunAsPPL car le contournement de PPL peut permettre à un attaquant de supprimer des informations d'identification inaccessibles.

Lazarus a exploité cette faille pour créer un système de lecture/écriture de base pour le noyau, permettant à la version mise à jour du rootkit FudModule de manipuler directement les objets du noyau.

Cette nouvelle version de FudModule s'accompagne d'améliorations significatives en termes de furtivité et de fonctionnalités, notamment des techniques de rootkit nouvelles et mises à jour pour échapper à la détection et désactiver AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon et HitmanPro.

En analysant les attaques, Avast a également découvert un cheval de Troie d'accès à distance (RAT) inconnu utilisé par Lazarus, qui serait au centre de l'attaque. Chapeau noir Asie Spectacle en avril.

« Avec la gravure Zero Day de l'administrateur vers le noyau, Lazarus est confronté à un défi majeur. Ils peuvent soit découvrir un nouvel exploit Zero Day, soit revenir à leurs anciennes techniques BYOVD », a déclaré Avast.

Il est conseillé aux utilisateurs de Windows d'installer les mises à jour du Patch Tuesday de février 2024 dès que possible pour empêcher les attaques Lazarus CVE-2024-21338.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *