Microsoft sotto attacco: come Lazarus ha sfruttato una vulnerabilità zero-day per mesi!

Gli hacker sostenuti dal governo nordcoreano hanno ottenuto una vittoria importante quando Microsoft ha lasciato un sistema Windows zero-day senza patch per sei mesi dopo aver appreso che era sotto sfruttamento attivo.

Anche dopo che Microsoft ha corretto la vulnerabilità il mese scorso, la società non ha fatto menzione del fatto che il gruppo nordcoreano Lazarus aveva utilizzato la vulnerabilità almeno da agosto per installare un rootkit nascosto sui computer vulnerabili. La vulnerabilità ha fornito un mezzo semplice e nascosto per il malware che aveva già ottenuto i diritti amministrativi del sistema per interagire con il kernel di Windows. Lazarus ha sfruttato la vulnerabilità proprio per questo. Anche così, Microsoft sostiene da tempo che tali elevazioni dall’amministratore al kernel non rappresentano l’attraversamento di un limite di sicurezza, una possibile spiegazione per il tempo impiegato da Microsoft per risolvere la vulnerabilità.

Un rootkit “Santo Graal”

“Quando si parla di sicurezza di Windows, c’è una linea sottile tra amministratore e kernel”, ha spiegato la settimana scorsa Jan Vojtěšek, un ricercatore della società di sicurezza Avast. ” I criteri di servizio di sicurezza di Microsoft affermano da tempo che ‘[un]amministratore-kernel non è un limite di sicurezza”, il che significa che Microsoft si riserva il diritto di applicare patch alle vulnerabilità da amministratore a kernel a propria discrezione. Di conseguenza, il modello di sicurezza di Windows non garantisce che impedirà a un utente malintenzionato a livello di amministratore di accedere direttamente al kernel”.

La politica di Microsoft si è rivelata un vantaggio per Lazarus nell’installazione di “FudModule”, un rootkit personalizzato che secondo Avast era eccezionalmente nascosto e avanzato. I rootkit sono malware che hanno la capacità di nascondere file, processi e altri meccanismi interni al sistema operativo stesso e allo stesso tempo controllare i livelli più profondi del sistema operativo. Per funzionare, devono prima ottenere privilegi amministrativi: un risultato importante per qualsiasi malware che infetti un sistema operativo moderno. Poi devono superare un altro ostacolo: interagire direttamente con il kernel, il recesso più interno di un sistema operativo riservato alle funzioni più sensibili.Annuncio

Negli anni passati Lazarus e altri gruppi di minacce hanno raggiunto quest’ultima soglia principalmente sfruttando driver di sistema di terze parti, che per definizione hanno già accesso al kernel. Per funzionare con le versioni supportate di Windows, i driver di terze parti devono prima essere firmati digitalmente da Microsoft per certificare che sono affidabili e soddisfano i requisiti di sicurezza. Nel caso in cui Lazarus o un altro autore di minacce abbiano già superato l’ostacolo amministrativo e abbiano identificato una vulnerabilità in un driver approvato, possono installarlo e sfruttare la vulnerabilità per ottenere l’accesso al kernel di Windows. Questa tecnica, nota come BYOVD (porta il tuo autista vulnerabile), ha tuttavia un costo, perché offre ampie opportunità ai difensori di rilevare un attacco in corso.

La vulnerabilità sfruttata da Lazarus, tracciata come CVE-2024-21338, offriva molta più azione furtiva rispetto a BYOVD perché sfruttava appid.sys, un driver che abilita il servizio Windows AppLocker, preinstallato nel sistema operativo Microsoft. Avast ha affermato che tali vulnerabilità rappresentano il “Santo Graal” rispetto a BYOVD.

Ad agosto, i ricercatori Avast hanno inviato a Microsoft una descrizione dello zero-day, insieme al codice proof-of-concept che dimostrava cosa faceva quando veniva sfruttato. Microsoft non ha corretto la vulnerabilità fino al mese scorso . Anche allora, la divulgazione dello sfruttamento attivo di CVE-2024-21338 e dei dettagli del rootkit Lazarus non è arrivata da Microsoft a febbraio ma da Avast 15 giorni dopo. Il giorno dopo, Microsoft ha aggiornato il suo bollettino sulle patch per segnalare lo sfruttamento.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione