Les acteurs notoires du groupe Lazarus ont exploité une faille d’élévation de privilèges récemment corrigée dans le noyau Windows comme un jour zéro pour obtenir un accès au niveau du noyau et désactiver les logiciels de sécurité sur les hôtes compromis.
La vulnérabilité en question est CVE-2024-21338 (score CVSS : 7,8), ce qui peut permettre à un attaquant d’obtenir les privilèges SYSTEM. Ce problème a été résolu par Microsoft plus tôt ce mois-ci dans le cadre des mises à jour du Patch Tuesday.
« Pour exploiter cette vulnérabilité, un attaquant devrait d’abord se connecter au système », explique Microsoft. dit. « Un attaquant pourrait alors exécuter une application spécialement conçue pour exploiter la vulnérabilité et prendre le contrôle d’un système affecté. »
Bien qu’il n’y ait aucune indication d’exploitation active de CVE-2024-21338 au moment de la publication des mises à jour, Redmond a révisé mercredi son « évaluation de l’exploitabilité » de la faille à « Exploitation détectée ».
On ne sait pas exactement quand les attaques ont eu lieu, mais la vulnérabilité aurait été introduite dans Windows 10, version 1703 (RS2/15063) lorsque le gestionnaire 0x22A018 IOCTL (abréviation de contrôle d’entrée/sortie) a été implémenté pour la première fois.
Le fournisseur de cybersécurité Avast, qui découvert un exploit sauvage de l’administrateur vers le noyau pour le bogue, a déclaré que la primitive de lecture/écriture du noyau obtenue en militarisant la faille permettait au groupe Lazarus d’« effectuer une manipulation directe des objets du noyau dans une version mise à jour de leur rootkit FudModule réservé aux données. « .
Le rootkit FudModule a été signalé pour la première fois par ESET et AhnLab en octobre 2022 comme étant capable de désactiver la surveillance de toutes les solutions de sécurité sur les hôtes infectés au moyen de ce que l’on appelle une attaque Bring Your Own Vulnerable Driver (BYOVD), dans laquelle un attaquant implante un pilote susceptible de une faille connue ou zero-day pour élever les privilèges.
Ce qui rend la dernière attaque significative, c’est qu’elle va « au-delà du BYOVD en exploitant un jour zéro dans un pilote dont on sait qu’il est déjà installé sur la machine cible ». Ce pilote sensible est appid.sys, qui est crucial au fonctionnement d’un composant Windows appelé AppLocker qui est responsable du contrôle des applications.
L’exploit réel conçu par le groupe Lazarus implique l’utilisation de CVE-2024-21338 dans le pilote appid.sys pour exécuter du code arbitraire de manière à contourner tous les contrôles de sécurité et à exécuter le rootkit FudModule.
« FudModule n’est que faiblement intégré au reste de l’écosystème de logiciels malveillants de Lazarus et Lazarus est très prudent dans l’utilisation du rootkit, en le déployant uniquement à la demande et dans les bonnes circonstances », a déclaré le chercheur en sécurité Jan Vojtěšek, décrivant le logiciel malveillant comme étant en développement actif.
En plus de prendre des mesures pour contourner la détection en désactivant les enregistreurs système, FudModule est conçu pour désactiver des logiciels de sécurité spécifiques tels que AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro et Microsoft Defender Antivirus (anciennement Windows Defender).
Ce développement marque un nouveau niveau de sophistication technique associé aux groupes de hackers nord-coréens, réitérant continuellement leur arsenal pour améliorer la furtivité et les fonctionnalités. Il illustre également les techniques élaborées utilisées pour entraver la détection et rendre leur suivi beaucoup plus difficile.
L’orientation multiplateforme du collectif contradictoire est également illustrée par le fait qu’il a été observé en utilisant de faux liens d’invitation à des réunions de calendrier pour installer furtivement des logiciels malveillants sur les systèmes Apple macOS, une campagne qui a déjà été documentée par SlowMist en décembre 2023.
« Le groupe Lazarus reste l’un des acteurs de menace persistante avancée les plus prolifiques et les plus anciens », a déclaré Vojtěšek. « Le rootkit FudModule est le dernier exemple en date, représentant l’un des outils les plus complexes que Lazarus possède dans son arsenal. »