Microsoft sotto attacco: come Lazarus ha sfruttato una vulnerabilità zero-day per mesi!

Redazione RHC : 31 Marzo 2024 09:50

Gli hacker sostenuti dal governo nordcoreano hanno ottenuto una vittoria importante quando Microsoft ha lasciato un sistema Windows zero-day senza patch per sei mesi dopo aver appreso che era sotto sfruttamento attivo.

Anche dopo che Microsoft ha corretto la vulnerabilità il mese scorso, la società non ha fatto menzione del fatto che il gruppo nordcoreano Lazarus aveva utilizzato la vulnerabilità almeno da agosto per installare un rootkit nascosto sui computer vulnerabili. La vulnerabilità ha fornito un mezzo semplice e nascosto per il malware che aveva già ottenuto i diritti amministrativi del sistema per interagire con il kernel di Windows. Lazarus ha sfruttato la vulnerabilità proprio per questo. Anche così, Microsoft sostiene da tempo che tali elevazioni dall’amministratore al kernel non rappresentano l’attraversamento di un limite di sicurezza, una possibile spiegazione per il tempo impiegato da Microsoft per risolvere la vulnerabilità.

Un rootkit “Santo Graal”

“Quando si parla di sicurezza di Windows, c’è una linea sottile tra amministratore e kernel”, ha spiegato la settimana scorsa Jan Vojtěšek, un ricercatore della società di sicurezza Avast. ” I criteri di servizio di sicurezza di Microsoft affermano da tempo che ‘[un]amministratore-kernel non è un limite di sicurezza”, il che significa che Microsoft si riserva il diritto di applicare patch alle vulnerabilità da amministratore a kernel a propria discrezione. Di conseguenza, il modello di sicurezza di Windows non garantisce che impedirà a un utente malintenzionato a livello di amministratore di accedere direttamente al kernel”.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
379 163 8765  per richiedere informazioni "

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

La politica di Microsoft si è rivelata un vantaggio per Lazarus nell’installazione di “FudModule”, un rootkit personalizzato che secondo Avast era eccezionalmente nascosto e avanzato. I rootkit sono malware che hanno la capacità di nascondere file, processi e altri meccanismi interni al sistema operativo stesso e allo stesso tempo controllare i livelli più profondi del sistema operativo. Per funzionare, devono prima ottenere privilegi amministrativi: un risultato importante per qualsiasi malware che infetti un sistema operativo moderno. Poi devono superare un altro ostacolo: interagire direttamente con il kernel, il recesso più interno di un sistema operativo riservato alle funzioni più sensibili.Annuncio

Negli anni passati Lazarus e altri gruppi di minacce hanno raggiunto quest’ultima soglia principalmente sfruttando driver di sistema di terze parti, che per definizione hanno già accesso al kernel. Per funzionare con le versioni supportate di Windows, i driver di terze parti devono prima essere firmati digitalmente da Microsoft per certificare che sono affidabili e soddisfano i requisiti di sicurezza. Nel caso in cui Lazarus o un altro autore di minacce abbiano già superato l’ostacolo amministrativo e abbiano identificato una vulnerabilità in un driver approvato, possono installarlo e sfruttare la vulnerabilità per ottenere l’accesso al kernel di Windows. Questa tecnica, nota come BYOVD (porta il tuo autista vulnerabile), ha tuttavia un costo, perché offre ampie opportunità ai difensori di rilevare un attacco in corso.

La vulnerabilità sfruttata da Lazarus, tracciata come CVE-2024-21338, offriva molta più azione furtiva rispetto a BYOVD perché sfruttava appid.sys, un driver che abilita il servizio Windows AppLocker, preinstallato nel sistema operativo Microsoft. Avast ha affermato che tali vulnerabilità rappresentano il “Santo Graal” rispetto a BYOVD.

Ad agosto, i ricercatori Avast hanno inviato a Microsoft una descrizione dello zero-day, insieme al codice proof-of-concept che dimostrava cosa faceva quando veniva sfruttato. Microsoft non ha corretto la vulnerabilità fino al mese scorso . Anche allora, la divulgazione dello sfruttamento attivo di CVE-2024-21338 e dei dettagli del rootkit Lazarus non è arrivata da Microsoft a febbraio ma da Avast 15 giorni dopo. Il giorno dopo, Microsoft ha aggiornato il suo bollettino sulle patch per segnalare lo sfruttamento.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.