Microsoft sotto attacco: come Lazarus ha sfruttato una vulnerabilità zero-day per mesi!

Gli hacker sostenuti dal governo nordcoreano hanno ottenuto una vittoria importante quando Microsoft ha lasciato un sistema Windows zero-day senza patch per sei mesi dopo aver appreso che era sotto sfruttamento attivo.

Anche dopo che Microsoft ha corretto la vulnerabilità il mese scorso, la società non ha fatto menzione del fatto che il gruppo nordcoreano Lazarus aveva utilizzato la vulnerabilità almeno da agosto per installare un rootkit nascosto sui computer vulnerabili. La vulnerabilità ha fornito un mezzo semplice e nascosto per il malware che aveva già ottenuto i diritti amministrativi del sistema per interagire con il kernel di Windows. Lazarus ha sfruttato la vulnerabilità proprio per questo. Anche così, Microsoft sostiene da tempo che tali elevazioni dall’amministratore al kernel non rappresentano l’attraversamento di un limite di sicurezza, una possibile spiegazione per il tempo impiegato da Microsoft per risolvere la vulnerabilità.

Un rootkit “Santo Graal”

“Quando si parla di sicurezza di Windows, c’è una linea sottile tra amministratore e kernel”, ha spiegato la settimana scorsa Jan Vojtěšek, un ricercatore della società di sicurezza Avast. ” I criteri di servizio di sicurezza di Microsoft affermano da tempo che ‘[un]amministratore-kernel non è un limite di sicurezza”, il che significa che Microsoft si riserva il diritto di applicare patch alle vulnerabilità da amministratore a kernel a propria discrezione. Di conseguenza, il modello di sicurezza di Windows non garantisce che impedirà a un utente malintenzionato a livello di amministratore di accedere direttamente al kernel”.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La politica di Microsoft si è rivelata un vantaggio per Lazarus nell’installazione di “FudModule”, un rootkit personalizzato che secondo Avast era eccezionalmente nascosto e avanzato. I rootkit sono malware che hanno la capacità di nascondere file, processi e altri meccanismi interni al sistema operativo stesso e allo stesso tempo controllare i livelli più profondi del sistema operativo. Per funzionare, devono prima ottenere privilegi amministrativi: un risultato importante per qualsiasi malware che infetti un sistema operativo moderno. Poi devono superare un altro ostacolo: interagire direttamente con il kernel, il recesso più interno di un sistema operativo riservato alle funzioni più sensibili.Annuncio

Negli anni passati Lazarus e altri gruppi di minacce hanno raggiunto quest’ultima soglia principalmente sfruttando driver di sistema di terze parti, che per definizione hanno già accesso al kernel. Per funzionare con le versioni supportate di Windows, i driver di terze parti devono prima essere firmati digitalmente da Microsoft per certificare che sono affidabili e soddisfano i requisiti di sicurezza. Nel caso in cui Lazarus o un altro autore di minacce abbiano già superato l’ostacolo amministrativo e abbiano identificato una vulnerabilità in un driver approvato, possono installarlo e sfruttare la vulnerabilità per ottenere l’accesso al kernel di Windows. Questa tecnica, nota come BYOVD (porta il tuo autista vulnerabile), ha tuttavia un costo, perché offre ampie opportunità ai difensori di rilevare un attacco in corso.

La vulnerabilità sfruttata da Lazarus, tracciata come CVE-2024-21338, offriva molta più azione furtiva rispetto a BYOVD perché sfruttava appid.sys, un driver che abilita il servizio Windows AppLocker, preinstallato nel sistema operativo Microsoft. Avast ha affermato che tali vulnerabilità rappresentano il “Santo Graal” rispetto a BYOVD.

Ad agosto, i ricercatori Avast hanno inviato a Microsoft una descrizione dello zero-day, insieme al codice proof-of-concept che dimostrava cosa faceva quando veniva sfruttato. Microsoft non ha corretto la vulnerabilità fino al mese scorso . Anche allora, la divulgazione dello sfruttamento attivo di CVE-2024-21338 e dei dettagli del rootkit Lazarus non è arrivata da Microsoft a febbraio ma da Avast 15 giorni dopo. Il giorno dopo, Microsoft ha aggiornato il suo bollettino sulle patch per segnalare lo sfruttamento.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.