fbpx

Lazarus colpisce ancora Windows, e stavolta con questa vulnerabilità zero-day

Nuovo attacco da parte del gruppo hacker Lazarus, che ha sfruttato questa vulnerabilità zero-day per attaccare Windows

morghy il robottino giornalista
Morghy, il robottino giornalista

Lazarus si è alzato, di nuovo. E ora avanza imperterrito contro Windows, utilizzando una vulnerabilità zero-day abbastanza pericolosa. Al punto da aver violato l’accesso a un driver del sistema operativo di Microsoft.

Ma cosa ha di particolare questo attacco? Che oltre a coinvolgere il sopracitato driver integrato di Windows, lo rende estremamente difficile da rilevare e fermare una volta compromesso il sistema.

Lazarus colpisce il driver Windows con queste vulnerabilità zero-day

Il Lazarus Group, un gruppo di hacker nordcoreano noto per la sua pericolosità, ha recentemente sfruttato una vulnerabilità zero-day nel driver Windows AppLocker (appid.sys).

Riporta Bleeping Computer, questo exploit ha consentito loro di ottenere accesso al livello del kernel del sistema operativo Windows, eludendo efficacemente le tecniche di sicurezza BYOVD (Bring Your Own Vulnerable Driver).

L’attività è stata individuata dagli analisti di Avast, che hanno prontamente informato Microsoft dell’incidente. Microsoft ha risposto con una correzione immediata, incluso il patch della vulnerabilità, ora conosciuta come CVE-2024-21338, rilasciata come parte del Patch Tuesday di febbraio 2024.

Tuttavia, Microsoft non ha classificato la falla come zero-day.

Secondo Avast, il Lazarus Group ha sfruttato questa vulnerabilità per sviluppare una versione aggiornata del suo rootkit FudModule. Questo avanzato rootkit ha dimostrato notevoli miglioramenti nelle sue capacità furtive e nel bypassare le difese di sicurezza, come nel caso di Microsoft Defender e CrowdStrike Falcon.

Un’evoluzione significativa nell’accedere al kernel

Il malware sfrutta una vulnerabilità nel driver “appid.sys” di Microsoft, utilizzato da Windows AppLocker per la gestione delle applicazioni consentite. Manipolando il dispatcher IOCTL (Input and Output Control) nel driver appid.sys, Lazarus riesce a eseguire codice non sicuro a livello di kernel, eludendo le misure di sicurezza del sistema.

Il rootkit FudModule, integrato con l’exploit, opera attraverso manipolazioni dirette degli oggetti del kernel (DKOM) per disattivare i prodotti di sicurezza e nascondere le sue attività dannose.

Questa nuova versione del rootkit presenta miglioramenti significativi nelle sue funzionalità, inclusa la capacità di eludere le protezioni di sicurezza avanzate come Protected Process Light (PPL), firma digitale del driver e Secure Boot.

Avast ha rilevato che questa nuova tattica di exploit segna un’evoluzione significativa nelle capacità degli autori delle minacce di accedere al kernel. Ciò rende gli attacchi più furtivi e persistenti, aumentando la complessità della difesa per gli utenti e gli amministratori di sistema.

La misura di sicurezza più efficace rimane l’applicazione tempestiva degli aggiornamenti del Patch Tuesday di febbraio 2024.

Iscriviti alla newsletter

Non inviamo spam! Leggi la nostra Informativa sulla privacy per avere maggiori informazioni.