Uma falha de segurança recém-corrigida no Microsoft Windows foi explorada como um zero-day pelo Grupo Lazarus, um ator patrocinado pelo estado e afiliado à Coreia do Norte, notório por suas ações cibernéticas.
A vulnerabilidade de segurança, registrada como
CVE-2024-38193
(pontuação CVSS: 7.8), foi descrita como um bug de escalonamento de privilégio no Driver de Função Ancilar (AFD.sys) para WinSock do Windows.
"Um atacante que explorasse com sucesso esta vulnerabilidade poderia obter privilégios de SYSTEM", disse a Microsoft em um aviso sobre a falha na semana passada.
Ela foi corrigida pela gigante da tecnologia como parte de sua atualização mensal do Patch Tuesday.
O crédito pela descoberta e relato da falha vai para os pesquisadores da Gen Digital, Luigino Camastra e Milánek.
A Gen Digital detém várias marcas de software de segurança e utilidade como Norton, Avast, Avira, AVG, ReputationDefender e CCleaner.
"Essa falha permitiu que eles obtivessem acesso não autorizado a áreas sensíveis do sistema", revelou a empresa na semana passada, adicionando que a exploração foi descoberta no início de junho de 2024.
A vulnerabilidade permitiu que os atacantes contornassem as restrições normais de segurança e acessassem áreas sensíveis do sistema que a maioria dos usuários e administradores não podem alcançar.
O fornecedor de cibersegurança ainda observou que os ataques foram caracterizados pelo uso de um rootkit chamado FudModule numa tentativa de evadir detecção.
Enquanto os detalhes técnicos exatos associados às intrusões permanecem desconhecidos, a vulnerabilidade lembra outra falha de escalonamento de privilégio que a Microsoft corrigiu em fevereiro de 2024 e que também foi armamentizada pelo Grupo Lazarus para executar o FudModule.
Especificamente, envolveu a exploração do
CVE-2024-21338
(pontuação CVSS: 7.8), uma falha de escalonamento de privilégio no kernel do Windows enraizada no driver do AppLocker (appid.sys) que possibilita a execução de código arbitrário de tal forma que ignora todas as verificações de segurança e executa o rootkit FudModule.
Ambos os ataques são notáveis porque vão além de um ataque tradicional de Bring Your Own Vulnerable Driver (BYOVD) ao aproveitar uma falha de segurança em um driver já instalado em um host Windows, ao invés de "trazer" um driver suscetível e usá-lo para burlar medidas de segurança.
Ataques anteriores detalhados pela firma de cibersegurança Avast revelaram que o rootkit é entregue por meio de um remote access trojan conhecido como Kaolin RAT.
"FudModule é apenas integrado de forma solta no resto do ecossistema de malware do Lazarus," disse a companhia tcheca na ocasião, afirmando que "o Lazarus é muito cuidadoso ao usar o rootkit, apenas o implantando sob demanda nas circunstâncias certas."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...