Nhóm hacker Triều Tiên Lazarus Group đã khai thác một lỗ hổng trong driver Windows AppLocker (appid.sys) như một zero-day để giành quyền truy cập cấp kernel và tắt các công cụ an ninh.
Hoạt động này phát hiện bởi các nhà phân tích của Avast, sau đó báo cáo cho Microsoft. Hãng sau đó đã đưa ra bản vá cho lỗ hổng (CVE-2024-21338), trong bản cập nhật an ninh tháng 2/2024. Tuy nhiên, Microsoft chưa đánh dấu lỗ hổng này là zero-day.
Avast báo cáo rằng Lazarus đã khai thác CVE-2024-21338 để tạo một kernel đọc/ghi sơ cấp trong phiên bản cập nhật của rootkit FudModule. Rootkit này lần đầu được phát hiện vào cuối năm 2022, lợi dụng driver Dell để thực hiện các cuộc tấn công BYOVD.
Phiên bản mới của FudModule có những cải tiến đáng kể về khả năng lẩn trốn và kỹ thuật vượt qua các biện pháp an ninh.
Mã độc nhắm vào lỗ hổng trong driver ‘appid.sys’ của Microsoft, một thành phần Windows AppLocker cung cấp khả năng đưa ứng dụng vào danh sách trắng (whitelist). Lazarus khai thác bằng cách điều khiển bộ điều phối Input and Output Control (IOCTL) trong driver appid.sys để gọi một con trỏ tùy ý, lừa kernel thực thi mã không an toàn, bỏ qua cơ chế kiểm tra bảo mật.
Các sản phẩm an ninh bị nhắm mục tiêu là AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon và giải pháp chống phần mềm độc hại HitmanPro.
Avast lưu ý các kỹ thuật lẩn trốn và tính năng mới trong phiên bản rootkit đánh dấu một bước tiến đáng kể về khả năng truy cập kernel của hacker, khiến các cuộc tấn công ‘lén lút’ hơn và tồn tại lâu dài hơn trên các hệ thống bị xâm nhập.
Các chuyên gia khuyến cáo, biện pháp an ninh hiệu quả duy nhất là cập nhật bản vá tháng 2/2024 sớm nhất có thể.
Nguồn: Bleeping Computer