Una falla de seguridad recientemente reparada en Microsoft Windows fue explotada como una falla de día cero por Lazarus Group, un prolífico actor patrocinado por el estado afiliado a Corea del Norte.
La vulnerabilidad de seguridad, rastreada como CVE-2024-38193 (Puntuación CVSS: 7,8), se describió como un error de escalada de privilegios en el controlador de función auxiliar de Windows (AFD.sys) para WinSock.
“Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios del SISTEMA”, dijo Microsoft. dicho en un aviso sobre esta falla publicado la semana pasada. El gigante tecnológico solucionó esta falla como parte de su actualización mensual del martes de parches.
Los investigadores de Gen Digital, Luigino Camastra y Milánek, fueron quienes descubrieron y reportaron la falla. Gen Digital posee varias marcas de software de seguridad y utilidades como Norton, Avast, Avira, AVG, ReputationDefender y CCleaner.
“Esta falla les permitió obtener acceso no autorizado a áreas sensibles del sistema”, dijo la compañía. revelado la semana pasada, y agregó que descubrió el exploit a principios de junio de 2024. “La vulnerabilidad permitió a los atacantes eludir las restricciones de seguridad normales y acceder a áreas sensibles del sistema a las que la mayoría de los usuarios y administradores no pueden acceder. »
El proveedor de ciberseguridad también señaló que los ataques se caracterizaron por el uso de un rootkit llamado FudModule para intentar evadir la detección.
Aunque actualmente se desconocen los detalles técnicos exactos asociados con las intrusiones, la vulnerabilidad recuerda a otra falla de escalada de privilegios que Microsoft parchó en febrero de 2024 y que también fue utilizada por el Grupo Lazarus para abandonar FudModule.
Más concretamente, se trataba de la explotación de CVE-2024-21338 (puntuación CVSS: 7,8), un fallo de escalada de privilegios del kernel de Windows radicado en el controlador AppLocker (appid.sys) que permite ejecutar código arbitrario de tal forma que se eluden todas las medidas de seguridad. comprueba y ejecuta el rootkit FudModule.
Estos dos ataques son notables porque van más allá del tradicional ataque BYOVD (Traiga su propio controlador vulnerable) al aprovechar una vulnerabilidad de seguridad en un controlador ya instalado en un host de Windows en lugar de “traer” un controlador vulnerable y usarlo para eludir la seguridad. medidas.
Ataques anteriores detallados por la empresa de ciberseguridad Avast revelaron que el rootkit se distribuye mediante un troyano de acceso remoto conocido como Kaolin RAT.
“FudModule sólo está ligeramente integrado con el resto del ecosistema de malware de Lazarus”, dijo la compañía checa en ese momento, y agregó que “Lazarus es muy cauteloso en el uso del rootkit y solo lo implementa según la demanda y en las circunstancias adecuadas. »