Une faille de sécurité récemment corrigée dans Microsoft Windows a été exploitée comme une faille zero-day par Lazarus Group, un acteur prolifique parrainé par l’État et affilié à la Corée du Nord.
La vulnérabilité de sécurité, suivie comme CVE-2024-38193 (Score CVSS : 7,8), a été décrit comme un bogue d’escalade de privilèges dans le pilote de fonction auxiliaire Windows (AFD.sys) pour WinSock.
« Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait obtenir des privilèges SYSTEM », a déclaré Microsoft dit dans un avis concernant cette faille publié la semaine dernière. Le géant de la technologie a corrigé cette faille dans le cadre de sa mise à jour mensuelle Patch Tuesday.
Les chercheurs de Gen Digital, Luigino Camastra et Milánek, sont ceux qui ont découvert et signalé la faille. Gen Digital possède plusieurs marques de logiciels de sécurité et utilitaires comme Norton, Avast, Avira, AVG, ReputationDefender et CCleaner.
« Cette faille leur a permis d’obtenir un accès non autorisé à des zones sensibles du système », a déclaré la société. divulgué la semaine dernière, ajoutant avoir découvert l’exploitation début juin 2024. « La vulnérabilité a permis aux attaquants de contourner les restrictions de sécurité normales et d’accéder à des zones sensibles du système que la plupart des utilisateurs et des administrateurs ne peuvent pas atteindre. »
Le fournisseur de cybersécurité a également noté que les attaques étaient caractérisées par l’utilisation d’un rootkit appelé FudModule pour tenter d’échapper à la détection.
Bien que les détails techniques exacts associés aux intrusions soient actuellement inconnus, la vulnérabilité rappelle une autre escalade de privilèges que Microsoft a corrigée en février 2024 et qui a également été utilisée par le groupe Lazarus pour abandonner FudModule.
Plus précisément, il s’agissait de l’exploitation de CVE-2024-21338 (score CVSS : 7,8), une faille d’escalade des privilèges du noyau Windows ancrée dans le pilote AppLocker (appid.sys) qui permet d’exécuter du code arbitraire de manière à contourner tous les contrôles de sécurité et à exécuter le rootkit FudModule.
Ces deux attaques sont remarquables car elles vont au-delà d’une attaque BYOVD (Bring Your Own Vulnerable Driver) traditionnelle en tirant parti d’une faille de sécurité dans un pilote déjà installé sur un hôte Windows au lieu d’« apporter » un pilote vulnérable et de l’utiliser pour contourner les mesures de sécurité.
Les attaques précédentes détaillées par la société de cybersécurité Avast ont révélé que le rootkit est diffusé au moyen d’un cheval de Troie d’accès à distance connu sous le nom de Kaolin RAT.
« FudModule n’est que vaguement intégré au reste de l’écosystème des malwares de Lazarus », avait déclaré la société tchèque à l’époque, précisant que « Lazarus est très prudent dans l’utilisation du rootkit, ne le déployant qu’à la demande dans les bonnes circonstances. »