Grupo Lazarus: Exploração de zero day no Kernel do Windows
Membros do grupo Lazarus exploraram recentemente uma vulnerabilidade de elevação de privilégios, agora corrigida, no Kernel do Windows, transformando-a em um ataque de zero day para obter acesso ao nível do kernel e desativar o software de segurança em sistemas comprometidos.
A vulnerabilidade em questão, identificada como CVE-2024-21338 (CVSS score: 7.8), permitia a um invasor obter privilégios SYSTEM. Esta falha foi prontamente corrigida pela Microsoft no início deste mês como parte das atualizações do Patch Tuesday.
"Caso um invasor busque explorar essa vulnerabilidade, a primeira etapa é efetuar login no sistema", afirmou a Microsoft. "A partir desse ponto, o invasor pode executar um aplicativo malicioso para explorar a vulnerabilidade, assumindo assim o controle total do sistema comprometido."
Exploração
Embora não houvesse evidências de exploração ativa da CVE-2024-21338 no momento da divulgação das atualizações, a Microsoft revisou sua "Avaliação de exploração" para a vulnerabilidade, classificando-a como "Exploração detectada".
A empresa Avast, responsável por descobrir uma exploração de administrador para o kernel relacionada a essa falha, revelou que a primitiva de leitura/gravação do kernel alcançada pela exploração permitiu ao grupo Lazarus "manipular diretamente objetos do kernel em uma versão atualizada de seu rootkit FudModule, limitando-se aos dados".
O rootkit FudModule foi inicialmente relatado pela ESET e AhnLab em outubro de 2022, destacando sua capacidade de desativar a monitorização de todas as soluções de segurança em sistemas infectados por meio do ataque conhecido como Bring Your Own Vulnerable Driver (BYOVD). Esse método envolve a utilização de um driver suscetível a uma falha conhecida ou de zero day para escalonar privilégios.
O aspecto desse recente ataque é sua extensão além do BYOVD, explorando um zero day em um driver já instalado na máquina alvo. Este driver suscetível é o appid.sys, essencial para o funcionamento do componente do Windows chamado AppLocker, responsável pelo controle de aplicativos.
O ataque conduzido pelo grupo Lazarus explora a CVE-2024-21338 no driver appid.sys para executar código arbitrário, contornando todas as verificações de segurança e executando o rootkit FudModule.
"O FudModule está apenas vagamente integrado ao restante do ecossistema de malware do Lazarus, e o Lazarus é bastante cauteloso ao empregar o rootkit, utilizando-o apenas sob demanda e em circunstâncias específicas", afirmou o pesquisador de segurança Jan Vojtěšek, descrevendo o malware como estando em contínuo desenvolvimento ativo.
Além de tomar medidas para evitar detecção, como desativar registradores do sistema, o FudModule foi projetado para desativar softwares de segurança específicos, como AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro e Microsoft Defender Antivirus (anteriormente conhecido como Windows Defender).
Mitigação
- A Microsoft lançou uma correção para a CVE-2024-21338 como parte das atualizações do Patch Tuesday.
Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que prioriza riscos cibernéticos críticos para os negócios, integrando IA para segurança avançada. Agende uma demo aqui
Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.