Hackers Lazarus exploraram o zero-day do Windows para obter privilégios de Kernel
29 de Fevereiro de 2024

Atuantes em ameaças da Coreia do Norte, conhecidos como Grupo Lazarus, exploraram uma falha no driver AppLocker do Windows (appid.sys) como um zero-day para obter acesso em nível de kernel e desabilitar ferramentas de segurança, permitindo que eles contornassem técnicas barulhentas de BYOVD (Bring Your Own Vulnerable Driver).

Esta atividade foi detectada por analistas da Avast, que prontamente a reportaram para a Microsoft, resultando em uma correção para a falha, agora rastreada como CVE-2024-21338 , como parte do Patch Tuesday de fevereiro de 2024.

No entanto, a Microsoft não marcou a falha como sendo explorada como um zero-day.

A Avast relata que o Lazarus explorou o CVE-2024-21338 para criar um primitivo de kernel de leitura/gravação numa versão atualizada do seu rootkit FudModule, que foi primeiramente documentado pelo ESET em finais de 2022.

Anteriormente, o rootkit abusava de um driver Dell para ataques BYOVD.

A nova versão do FudModule apresenta melhorias significativas em stealth e funcionalidade, incluindo novas e atualizadas técnicas para evadir detecção e desligar proteções de segurança como Microsoft Defender e CrowdStrike Falcon.

Além disso, ao recuperar a maior parte da cadeia de ataque, a Avast descobriu um trojan de acesso remoto (RAT) anteriormente não documentado usado pelo Lazarus, sobre o qual a empresa de segurança prometeu compartilhar mais detalhes na BlackHat Asia em abril.

O malware explorou uma vulnerabilidade no driver "appid.sys" da Microsoft, um componente Windows AppLocker que fornece capacidades de lista branca de aplicações.

O Lazarus explora ao manipular o despachante de Controle de Entrada e Saída (IOCTL) no driver appid.sys para chamar um ponteiro arbitrário, enganando o kernel para executar um código inseguro, contornando assim as verificações de segurança.

O rootkit FudModule, construído dentro do mesmo módulo que o exploit, executa operações de manipulação direta de objeto do kernel (DKOM) para desligar produtos de segurança, esconder atividades maliciosas e manter a persistência no sistema violado.

Os produtos de segurança alvo são AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon, e a solução anti-malware HitmanPro.

A Avast observou novas funcionalidades de stealth e capacidades ampliadas na nova versão do rootkit, como a capacidade de suspeitar de processos protegidos pelo Protected Process Light (PPL) manipulando entradas na tabela de manipulação, interrupção seletiva e direcionada via DKOM, melhorias em adulterar a aplicação de assinaturas em drivers e Secure Boot, e mais.

A Avast destaca que esta nova tática de exploit marca uma evolução significativa nas capacidades de acesso ao kernel do agente de ameaça, permitindo-lhes lançar ataques mais furtivos e persistir mais em sistemas comprometidos.

A única medida de segurança eficaz é aplicar as atualizações do Patch Tuesday de fevereiro de 2024 o mais rápido possível, já que a exploração por Lazarus de um driver integrado ao Windows torna o ataque particularmente desafiador de ser detectado e parado.

Regras YARA para ajudar os defensores a detectar atividades relacionadas à última versão do rootkit FudModule podem ser encontradas aqui.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...