Una falla de seguridad recientemente parcheada en Microsoft Windows fue explotada como día cero por Lazarus Group, un prolífico actor patrocinado por un estado afiliado a Corea del Norte.
La vulnerabilidad de seguridad, identificada como CVE-2024-38193 (puntuación CVSS: 7,8), se ha descrito como un error de escalada de privilegios en el controlador de funciones auxiliares de Windows (AFD.sys) para WinSock.
«Un atacante que aproveche con éxito esta vulnerabilidad podría obtener privilegios de SISTEMA», dijo Microsoft. dicho La semana pasada, el gigante tecnológico se ocupó de este problema como parte de su actualización mensual del martes de parches.
Los investigadores de Gen Digital, Luigino Camastra y Milánek, son los responsables de descubrir y denunciar la falla. Gen Digital es propietaria de varias marcas de software de seguridad y utilidades, como Norton, Avast, Avira, AVG, ReputationDefender y CCleaner.
«Esta falla les permitió obtener acceso no autorizado a áreas sensibles del sistema», dijo la compañía. revelado la semana pasada, y agregó que descubrió la explotación a principios de junio de 2024. «La vulnerabilidad permitió a los atacantes eludir las restricciones de seguridad normales y acceder a áreas sensibles del sistema a las que la mayoría de los usuarios y administradores no pueden acceder».
El proveedor de ciberseguridad señaló además que los ataques se caracterizaron por el uso de un rootkit llamado FudModule en un intento de evadir la detección.
Si bien actualmente se desconocen los detalles técnicos exactos asociados con las intrusiones, la vulnerabilidad recuerda a otra escalada de privilegios que Microsoft solucionó en febrero de 2024 y que también fue utilizada como arma por el Grupo Lazarus para eliminar FudModule.
En concreto, se trataba de la explotación de CVE-2024-21338 (puntuación CVSS: 7,8), un fallo de escalada de privilegios del kernel de Windows arraigado en el controlador AppLocker (appid.sys) que permite ejecutar código arbitrario de forma que elude todos los controles de seguridad y ejecuta el rootkit FudModule.
Ambos ataques son notables porque van más allá de un ataque tradicional de «traiga su propio controlador vulnerable» (BYOVD) al aprovechar una falla de seguridad en un controlador que ya está instalado en un host de Windows en lugar de «traer» un controlador susceptible y usarlo para eludir las medidas de seguridad.
Ataques anteriores detallados por la empresa de ciberseguridad Avast revelaron que el rootkit se distribuye mediante un troyano de acceso remoto conocido como Kaolin RAT.
«FudModule está integrado de forma muy vaga en el resto del ecosistema de malware de Lazarus», afirmó entonces la empresa checa, afirmando que «Lazarus es muy cuidadoso con el uso del rootkit y solo lo implementa bajo demanda y en las circunstancias adecuadas».