Gli hacker Lazarus sfruttano una vulnerabilità 0-day di Windows per accedere al kernel

Gli hacker Lazarus sfruttano una vulnerabilità 0-day di Windows per accedere al kernel

La falla è già stata corretta con il Patch Tuesday di febbraio e rappresenta una significativa evoluzione nel modo di prendere di mira il kernel del sistema operativo da parte degli attori di minaccia

di pubblicata il , alle 12:01 nel canale Sicurezza
Windows
 

Il famigerato gruppo hacker Lazarus ha sfruttato una vulnerabilità presente nel driver Windows AppLocker per ottenere l'accesso a livello del kernel del sistema operativo e disabilitare gli strumenti di sicurezza, senza la necessità di dover mettere in atto una più complessa tecnica conosciuta con il nome di Bring Your Own Vulnerable Driver.

La vulnerabilità, mai scoperta in precedenza, è stata tracciata con il codice CVE-2024-21338 e prontamente segnalata a Microsoft dai ricercatori di sicurezza Avast che sono stati in grado di rilevare le azioni di Lazarus. La vulnerabilità è già stata corretta con il Patch Tuesday di febbraio, anche se Microsoft non l'ha contrassegnata come 0-day.

I ricercatori di Avast spiegano che il gruppo hacker ha sfruttato la vulnerabilità per creare una primitiva del kernel di lettura/scrittura in una versione aggiornata del suo rootkit FudModule, strumento in circolazione dalla fine del 2022. Questo rootkit aveva abusato in precedenza di un driver Dell per attacchi BYOVD. Windows AppLocker è il componente che mette a disposizione le funzionalità di whitelisting delle applicazioni.

La nuova versione di FudModule risulta più avanzata rispetto alla precedente per quanto riguarda la furtività operativa e le funzionalità a disposizione degli hacker. Si segnala in particolare la presenza di tecniche per eludere il rilevamento e per disabilitare le protezioni di sicurezza, non solo di Windows Defender ma anche quelle di altre suite come AhnLab V3 Endpoint Security, CrowdStrike Falcon e HitmanPro. I ricercatori Avast hanno inoltre osservato nuove capacità di manomissione delle funzioni Driver Signatur Enforcment e Secure Boot.

L'analisi della catena di attacco ha inoltre permesso ad Avast di individuare un nuovo trojan di accesso remoto che non era mai stato documentato in precedenza e che verrà approfondito in occasione del BlackHat Asia in programma dal 16 al 19 aprile a Singapore.

Gli analisti mettono comunque in guardia sul fatto che questa particolare strategia di sfruttamento rappresenta un passo evolutivo importante nelle capacità di accesso la kernel da parte degli attori di minaccia, con la possibilità di condurre attacchi più furtivi e di riuscire ad ottenere una persistenza maggiormente prolungata nel tempo sui sistemi compromessi.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Peppe197029 Febbraio 2024, 17:14 #1
Originariamente inviato da: Redazione di Hardware Upgrade
Link alla notizia: https://www.hwupgrade.it/news/sicur...nel_124819.html

La falla è già stata corretta con il Patch Tuesday di febbraio e rappresenta una significativa evoluzione nel modo di prendere di mira il kernel del sistema operativo da parte degli attori di minaccia
[/b]


Azz!.. ahaahahahahahahahahaha

Ne capiscono più questi lazarus del kernel di win che quelli di MS
UtenteHD01 Marzo 2024, 09:06 #2
Ok che qui si parla di 0day sfruttati per ecc... ma dov'era chi diceva che con Defender era tutto al sicuro?
Ripeto, poi magari mi sbaglio eh, ma cio' che e' preinstallato e' per sua natura maggiormente preso di mira, usate altro e/o affiancate, discorso generico, non solo x Defender.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^