Hackers exploram vulnerabilidade de dia zero no kernel do Windows
Um notório coletivo de hackers conhecido como Lazarus aproveitou uma falha de segurança residente no driver Windows AppLocker para obter acesso não autorizado à camada kernel do sistema operacional, desabilitando efetivamente o software de segurança por outros meios que não o emprego da metodologia avançada comumente referida como “Traga seu Próprio driver vulnerável.
Uma falha de segurança recentemente descoberta, que não havia sido identificada antes, recebeu o identificador CVE-2024-21338 pelos pesquisadores de segurança da Avast depois que detectaram atividades suspeitas do Lazarus. Desde então, esse problema foi resolvido por meio de um patch lançado durante o ciclo Patch Tuesday de fevereiro, embora a Microsoft ainda não o tenha classificado como uma ameaça imediata (dia 0).
De acordo com os investigadores da Avast, o grupo de hackers aproveitou uma vulnerabilidade para desenvolver um kernel primitivo de leitura/gravação em sua versão atualizada do rootkit FudModule. Este último está presente desde o final de 2022 e foi anteriormente utilizado para realizar ataques BYOVD com o auxílio de um driver Dell. Felizmente, o Windows AppLocker fornece recursos de lista de permissões de aplicativos que podem ajudar a prevenir a ocorrência de tais incidentes.
A última iteração do FudModule exibe um nível elevado de sofisticação em comparação com seu antecessor no que diz respeito à furtividade operacional e às capacidades funcionais que atendem às necessidades dos hackers. Notavelmente, ele incorpora técnicas projetadas para evitar a detecção e neutralizar medidas de segurança implementadas por vários pacotes antivírus, como Windows Defender, AhnLab V3 Endpoint Security, CrowdStrike Falcon e HitmanPro. Além disso, nossas investigações descobriram evidências que sugerem o desenvolvimento de novas capacidades para subverter os mecanismos de aplicação de assinatura de driver e inicialização segura.
O exame da sequência de ataque permitiu à Avast identificar um Trojan de acesso remoto (RAT) sem precedentes e anteriormente não documentado, que será investigado minuciosamente na conferência Black Hat Asia, que acontecerá de 16 a 19 de abril em Cingapura.
Apesar dos benefícios desta tática de exploração específica, os analistas alertam que ela significa um avanço significativo para os agentes mal-intencionados que procuram entrada não autorizada no núcleo do sistema. Essa abordagem permite que eles realizem operações secretas e mantenham presença de longo prazo nas máquinas afetadas sem serem detectados.
*️⃣ Link da fonte: