Uma falha de segurança recentemente corrigida no Microsoft Home windows foi explorada como um dia zero pelo Lazarus Group, um prolífico ator patrocinado pelo Estado e afiliado à Coreia do Norte.
A vulnerabilidade de segurança, rastreada como CVE-2024-38193 (pontuação CVSS: 7,8), foi descrito como um bug de escalonamento de privilégios no Home windows Ancillary Operate Driver (AFD.sys) para WinSock.
“Um invasor que explorasse com sucesso essa vulnerabilidade poderia ganhar privilégios de SISTEMA”, disse a Microsoft em um aviso sobre a falha na semana passada. Ela foi abordada pela gigante da tecnologia como parte de sua atualização mensal Patch Tuesday.
Os pesquisadores da Gen Digital, Luigino Camastra e Milánek, são os responsáveis por descobrir e reportar a falha. A Gen Digital é dona de várias marcas de software program de segurança e utilitários, como Norton, Avast, Avira, AVG, ReputationDefender e CCleaner.
“Essa falha permitiu que eles obtivessem acesso não autorizado a áreas sensíveis do sistema”, divulgou a empresa na semana passada, acrescentando que descobriu a exploração no início de junho de 2024. “A vulnerabilidade permitiu que invasores ignorassem as restrições normais de segurança e acessassem áreas sensíveis do sistema que a maioria dos usuários e administradores não consegue alcançar.”
O fornecedor de segurança cibernética observou ainda que os ataques foram caracterizados pelo uso de um rootkit chamado FudModule em uma tentativa de evitar a detecção.
Embora os detalhes técnicos exatos associados às intrusões sejam atualmente desconhecidos, a vulnerabilidade lembra outra escalada de privilégios que a Microsoft corrigiu em fevereiro de 2024 e também foi usada como arma pelo Lazarus Group para derrubar o FudModule.
Especificamente, isso envolveu a exploração do CVE-2024-21338 (pontuação CVSS: 7,8), uma falha de escalonamento de privilégios do kernel do Home windows enraizada no driver AppLocker (appid.sys) que torna possível executar código arbitrário de forma a contornar todas as verificações de segurança e executar o rootkit FudModule.
Ambos os ataques são notáveis porque vão além de um ataque tradicional de Traga seu próprio driver vulnerável (BYOVD), aproveitando uma falha de segurança em um driver que já está instalado em um host Home windows, em vez de “trazer” um driver suscetível e usá-lo para contornar medidas de segurança.
Ataques anteriores detalhados pela empresa de segurança cibernética Avast revelaram que o rootkit é entregue por meio de um trojan de acesso remoto conhecido como Kaolin RAT.
“O FudModule está apenas vagamente integrado ao restante do ecossistema de malware do Lazarus”, disse a empresa tcheca na época, afirmando que “o Lazarus é muito cuidadoso ao usar o rootkit, implantando-o apenas sob demanda e nas circunstâncias certas”.
