Исследователи Avast рассказали, что северокорейская группировка Lazarus использовала уязвимость повышения привилегий в Windows как 0-day. Этот баг был исправлен в феврале 2024 года, лишь через полгода после того, как Microsoft сообщили, что уязвимость уже взята на вооружение хакерами.
Уязвимость CVE-2024-21338 была обнаружена специалистами Avast в драйвере appid.sys Windows AppLocker, о чем они сообщили Microsoft в августе прошлого года, предупредив, что уязвимость уже активно эксплуатируют злоумышленники.
Проблема затрагивает системы, работающие под управлением Windows 10 и Windows 11 (включая последние версии), а также Windows Server 2019 и 2022. Согласно данным Microsoft, успешная эксплуатация этого бага позволяет злоумышленникам с локальным доступом получить привилегии уровня SYSTEM. Причем атака не требует взаимодействия с пользователем.
«Чтобы использовать эту уязвимость, злоумышленник должен сначала войти в систему. Затем он может запустить специально подготовленное приложение, которое использует уязвимость и получит контроль над системой», — сообщали в компании.
Инженеры Microsoft устранили эту проблему 13 февраля 2024 года, однако лишь на прошлой неделе Microsoft обновила свой бюллетень безопасности и подтвердила, что CVE-2024-21338 использовали хакеры.
По информации Avast, группировка Lazarus использовала эту уязвимость в качестве 0-day как минимум с августа 2023 года. Баг применялся для получения привилегий уровня ядра и отключения защитных инструментов, что позволяло избежать более «заметных» атак типа BYOVD (Bring Your Own Vulnerable Driver). В итоге обновленная версия руткита FudModule получала возможность выполнять прямые манипуляции с объектами ядра.
«С точки зрения злоумышленника, переход от администратора к ядру открывает совершенно новые возможности. Имея доступ на уровне ядра, злоумышленник может нарушить работу защитного ПО, скрыть признаки заражения (включая файлы, сетевую активность, процессы и так далее), отключить kernel-mode телеметрию, средства защиты и многое другое, — говорят в Avast. — Кроме того, поскольку безопасность PPL (Protected Process Light) опирается на границы admin-to-kernel, гипотетический злоумышленник также получает возможность вмешаться в защищенные процессы или добавить защиту произвольному процессу. Это может быть особенно эффективным, если lsass защищен RunAsPPL, поскольку обход PPL позволит получить недоступные в противном случае учетные данные».
Как отмечают исследователи, новая версия FudModule обладает хорошей скрытностью и получила функциональные улучшения, включая новые и обновленные методы уклонения от обнаружения и отключения AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon и HitmanPro.
Кроме того, анализируя эти атаки, специалисты Avast обнаружили ранее неизвестный троян удаленного доступа (RAT), применяемый Lazarus. Об этом исследователи обещают рассказать на конференции BlackHat Asia в апреле текущего года.
