Les acteurs notoires du groupe Lazarus ont exploit\u00e9 une faille d’\u00e9l\u00e9vation de privil\u00e8ges r\u00e9cemment corrig\u00e9e dans le noyau Windows comme un jour z\u00e9ro pour obtenir un acc\u00e8s au niveau du noyau et d\u00e9sactiver les logiciels de s\u00e9curit\u00e9 sur les h\u00f4tes compromis.<\/p>\n
La vuln\u00e9rabilit\u00e9 en question est CVE-2024-21338<\/strong> (score CVSS : 7,8), ce qui peut permettre \u00e0 un attaquant d’obtenir les privil\u00e8ges SYSTEM. Ce probl\u00e8me a \u00e9t\u00e9 r\u00e9solu par Microsoft plus t\u00f4t ce mois-ci dans le cadre des mises \u00e0 jour du Patch Tuesday.<\/p>\n “Pour exploiter cette vuln\u00e9rabilit\u00e9, un attaquant devrait d’abord se connecter au syst\u00e8me”, explique Microsoft. dit<\/a>. “Un attaquant pourrait alors ex\u00e9cuter une application sp\u00e9cialement con\u00e7ue pour exploiter la vuln\u00e9rabilit\u00e9 et prendre le contr\u00f4le d’un syst\u00e8me affect\u00e9.”<\/p>\n Bien qu’il n’y ait aucune indication d’exploitation active de CVE-2024-21338 au moment de la publication des mises \u00e0 jour, Redmond a r\u00e9vis\u00e9 mercredi son \u00ab \u00e9valuation de l’exploitabilit\u00e9 \u00bb de la faille \u00e0 \u00ab Exploitation d\u00e9tect\u00e9e \u00bb. <\/p>\n On ne sait pas exactement quand les attaques ont eu lieu, mais la vuln\u00e9rabilit\u00e9 aurait \u00e9t\u00e9 introduite dans Windows 10, version 1703 (RS2\/15063) lorsque le gestionnaire 0x22A018 IOCTL (abr\u00e9viation de contr\u00f4le d’entr\u00e9e\/sortie) a \u00e9t\u00e9 impl\u00e9ment\u00e9 pour la premi\u00e8re fois.<\/p>\n Le fournisseur de cybers\u00e9curit\u00e9 Avast, qui d\u00e9couvert<\/a> un exploit sauvage de l’administrateur vers le noyau pour le bogue, a d\u00e9clar\u00e9 que la primitive de lecture\/\u00e9criture du noyau obtenue en militarisant la faille permettait au groupe Lazarus d’\u00ab\u00a0effectuer une manipulation directe des objets du noyau dans une version mise \u00e0 jour de leur rootkit FudModule r\u00e9serv\u00e9 aux donn\u00e9es. “.<\/p>\n Le rootkit FudModule a \u00e9t\u00e9 signal\u00e9 pour la premi\u00e8re fois par ESET et AhnLab en octobre 2022 comme \u00e9tant capable de d\u00e9sactiver la surveillance de toutes les solutions de s\u00e9curit\u00e9 sur les h\u00f4tes infect\u00e9s au moyen de ce que l’on appelle une attaque Bring Your Own Vulnerable Driver (BYOVD), dans laquelle un attaquant implante un pilote susceptible de une faille connue ou zero-day pour \u00e9lever les privil\u00e8ges.<\/p>\n Ce qui rend la derni\u00e8re attaque significative, c’est qu’elle va \u00ab au-del\u00e0 du BYOVD en exploitant un jour z\u00e9ro dans un pilote dont on sait qu’il est d\u00e9j\u00e0 install\u00e9 sur la machine cible \u00bb. Ce pilote sensible est appid.sys, qui est crucial au fonctionnement d’un composant Windows appel\u00e9 AppLocker<\/a> qui est responsable du contr\u00f4le des applications.<\/p>\n L’exploit r\u00e9el con\u00e7u par le groupe Lazarus implique l’utilisation de CVE-2024-21338 dans le pilote appid.sys pour ex\u00e9cuter du code arbitraire de mani\u00e8re \u00e0 contourner tous les contr\u00f4les de s\u00e9curit\u00e9 et \u00e0 ex\u00e9cuter le rootkit FudModule.<\/p>\n “FudModule n’est que faiblement int\u00e9gr\u00e9 au reste de l’\u00e9cosyst\u00e8me de logiciels malveillants de Lazarus et Lazarus est tr\u00e8s prudent dans l’utilisation du rootkit, en le d\u00e9ployant uniquement \u00e0 la demande et dans les bonnes circonstances”, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Jan Vojt\u011b\u0161ek, d\u00e9crivant le logiciel malveillant comme \u00e9tant en d\u00e9veloppement actif.<\/p>\n En plus de prendre des mesures pour contourner la d\u00e9tection en d\u00e9sactivant les enregistreurs syst\u00e8me, FudModule est con\u00e7u pour d\u00e9sactiver des logiciels de s\u00e9curit\u00e9 sp\u00e9cifiques tels que AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro et Microsoft Defender Antivirus (anciennement Windows Defender).<\/p>\n Ce d\u00e9veloppement marque un nouveau niveau de sophistication technique associ\u00e9 aux groupes de hackers nord-cor\u00e9ens, r\u00e9it\u00e9rant continuellement leur arsenal pour am\u00e9liorer la furtivit\u00e9 et les fonctionnalit\u00e9s. Il illustre \u00e9galement les techniques \u00e9labor\u00e9es utilis\u00e9es pour entraver la d\u00e9tection et rendre leur suivi beaucoup plus difficile.<\/p>\n L’orientation multiplateforme du collectif contradictoire est \u00e9galement illustr\u00e9e par le fait qu’il a \u00e9t\u00e9 observ\u00e9<\/a> en utilisant de faux liens d\u2019invitation \u00e0 des r\u00e9unions de calendrier pour installer furtivement des logiciels malveillants sur les syst\u00e8mes Apple macOS, une campagne qui a d\u00e9j\u00e0 \u00e9t\u00e9 document\u00e9e par SlowMist en d\u00e9cembre 2023.<\/p>\n “Le groupe Lazarus reste l’un des acteurs de menace persistante avanc\u00e9e les plus prolifiques et les plus anciens”, a d\u00e9clar\u00e9 Vojt\u011b\u0161ek. “Le rootkit FudModule est le dernier exemple en date, repr\u00e9sentant l’un des outils les plus complexes que Lazarus poss\u00e8de dans son arsenal.”<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Les-pirates-de-Lazarus-ont-exploite-une-faille-du-noyau.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n