Gli hacker Lazarus sfruttano una vulnerabilità 0-day di Windows per accedere al kernel

Il famigerato gruppo hacker Lazarus ha sfruttato una vulnerabilità presente nel driver Windows AppLocker per ottenere l'accesso a livello del kernel del sistema operativo e disabilitare gli strumenti di sicurezza, senza la necessità di dover mettere in atto una più complessa tecnica conosciuta con il nome di Bring Your Own Vulnerable Driver.

La vulnerabilità, mai scoperta in precedenza, è stata tracciata con il codice CVE-2024-21338 e prontamente segnalata a Microsoft dai ricercatori di sicurezza Avast che sono stati in grado di rilevare le azioni di Lazarus. La vulnerabilità è già stata corretta con il Patch Tuesday di febbraio, anche se Microsoft non l'ha contrassegnata come 0-day.

I ricercatori di Avast spiegano che il gruppo hacker ha sfruttato la vulnerabilità per creare una primitiva del kernel di lettura/scrittura in una versione aggiornata del suo rootkit FudModule, strumento in circolazione dalla fine del 2022. Questo rootkit aveva abusato in precedenza di un driver Dell per attacchi BYOVD. Windows AppLocker è il componente che mette a disposizione le funzionalità di whitelisting delle applicazioni.

La nuova versione di FudModule risulta più avanzata rispetto alla precedente per quanto riguarda la furtività operativa e le funzionalità a disposizione degli hacker. Si segnala in particolare la presenza di tecniche per eludere il rilevamento e per disabilitare le protezioni di sicurezza, non solo di Windows Defender ma anche quelle di altre suite come AhnLab V3 Endpoint Security, CrowdStrike Falcon e HitmanPro. I ricercatori Avast hanno inoltre osservato nuove capacità di manomissione delle funzioni Driver Signatur Enforcment e Secure Boot.

L'analisi della catena di attacco ha inoltre permesso ad Avast di individuare un nuovo trojan di accesso remoto che non era mai stato documentato in precedenza e che verrà approfondito in occasione del BlackHat Asia in programma dal 16 al 19 aprile a Singapore.

Gli analisti mettono comunque in guardia sul fatto che questa particolare strategia di sfruttamento rappresenta un passo evolutivo importante nelle capacità di accesso la kernel da parte degli attori di minaccia, con la possibilità di condurre attacchi più furtivi e di riuscire ad ottenere una persistenza maggiormente prolungata nel tempo sui sistemi compromessi.