Microsoft, зная о наличии уязвимости нулевого дня (0-day) в Windows, продолжала держать её открытой в течение шести месяцев. Само собой,
киберпреступники воспользовались таким подарком.
Несмотря на то что корпорация устранила брешь в прошлом месяце, группировка Lazarus использовала её в атаках с августа 2023 года для
установки руткита на компьютеры жертв.
Некорректная оценка проблемы со стороны Microsoft получилась из-за небрежного отношения к возможности повышения привилегий с
администраторских до ядра (admin-to-kernel). Например, специалисты антивирусной компании Avast объясняют это так:
«Когда речь заходит о безопасности в Windows, есть очень тонкая грань между администратором и ядром. Microsoft считает, что повышение
прав “админ-ядро” не является нарушением границ. Другими словами, нет никаких гарантий со стороны разработчиков, что атакующие не получат
доступ к ядру».
В результате кибергруппа Lazarus могла спокойно устанавливать в системы жертв кастомный руткит FudModule, который, по словам Avast,
действовал максимально скрытно и был написан профессионалами.
Имея возможность взаимодействовать с ядром напрямую, FudModule мог прятать процессы, файлы и другую активность, параллельно контролируя
наиболее глубокие уровни самой операционной системы. Более того, руткит позволял обходить защитные механизмы Windows вроде Endpoint
Detection and Response, Protected Process Light и т. п.
Речь идет об уязвимости под идентификатором CVE-2024-21338, которую Microsoft устранила с выходом февральского набора патчей. Эксплуатация
заключалась в использовании драйвера appid.sys, отвечающего за работу службы Windows AppLocker.
5 марта
Материал взят с сайта:
anti-malware.ru
|