Una falla de seguridad recientemente parcheada en Microsoft Windows fue explotada como d\u00eda cero por Lazarus Group, un prol\u00edfico actor patrocinado por un estado afiliado a Corea del Norte.<\/p>\n
La vulnerabilidad de seguridad, identificada como CVE-2024-38193<\/strong> (puntuaci\u00f3n CVSS: 7,8), se ha descrito como un error de escalada de privilegios en el controlador de funciones auxiliares de Windows (AFD.sys) para WinSock.<\/p>\n “Un atacante que aproveche con \u00e9xito esta vulnerabilidad podr\u00eda obtener privilegios de SISTEMA”, dijo Microsoft. dicho<\/a> La semana pasada, el gigante tecnol\u00f3gico se ocup\u00f3 de este problema como parte de su actualizaci\u00f3n mensual del martes de parches.<\/p>\n Los investigadores de Gen Digital, Luigino Camastra y Mil\u00e1nek, son los responsables de descubrir y denunciar la falla. Gen Digital es propietaria de varias marcas de software de seguridad y utilidades, como Norton, Avast, Avira, AVG, ReputationDefender y CCleaner.<\/p>\n “Esta falla les permiti\u00f3 obtener acceso no autorizado a \u00e1reas sensibles del sistema”, dijo la compa\u00f1\u00eda. revelado<\/a> la semana pasada, y agreg\u00f3 que descubri\u00f3 la explotaci\u00f3n a principios de junio de 2024. “La vulnerabilidad permiti\u00f3 a los atacantes eludir las restricciones de seguridad normales y acceder a \u00e1reas sensibles del sistema a las que la mayor\u00eda de los usuarios y administradores no pueden acceder”.<\/p>\n El proveedor de ciberseguridad se\u00f1al\u00f3 adem\u00e1s que los ataques se caracterizaron por el uso de un rootkit llamado FudModule en un intento de evadir la detecci\u00f3n.<\/p>\n Si bien actualmente se desconocen los detalles t\u00e9cnicos exactos asociados con las intrusiones, la vulnerabilidad recuerda a otra escalada de privilegios que Microsoft solucion\u00f3 en febrero de 2024 y que tambi\u00e9n fue utilizada como arma por el Grupo Lazarus para eliminar FudModule.<\/p>\n En concreto, se trataba de la explotaci\u00f3n de CVE-2024-21338 (puntuaci\u00f3n CVSS: 7,8), un fallo de escalada de privilegios del kernel de Windows arraigado en el controlador AppLocker (appid.sys) que permite ejecutar c\u00f3digo arbitrario de forma que elude todos los controles de seguridad y ejecuta el rootkit FudModule.<\/p>\n Ambos ataques son notables porque van m\u00e1s all\u00e1 de un ataque tradicional de “traiga su propio controlador vulnerable” (BYOVD) al aprovechar una falla de seguridad en un controlador que ya est\u00e1 instalado en un host de Windows en lugar de “traer” un controlador susceptible y usarlo para eludir las medidas de seguridad.<\/p>\n Ataques anteriores detallados por la empresa de ciberseguridad Avast revelaron que el rootkit se distribuye mediante un troyano de acceso remoto conocido como Kaolin RAT.<\/p>\n “FudModule est\u00e1 integrado de forma muy vaga en el resto del ecosistema de malware de Lazarus”, afirm\u00f3 entonces la empresa checa, afirmando que “Lazarus es muy cuidadoso con el uso del rootkit y solo lo implementa bajo demanda y en las circunstancias adecuadas”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Microsoft-corrige-un-fallo-de-dia-cero-explotado-por-el.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/section>\n