0-dag udnyttet af Lazarus

Af Eskil Sørensen, 20/08/24

Nordkorea aktiv på udnyttelsesfronten med specifikke værktøjer.

En nyligt rettet sikkerhedsfejl i Microsoft Windows blev udnyttet som en 0-dagssårbarhed af den statssponsorerede nordkoreanske gruppe Lazarus.

Sårbarheden fik id’et CVE-2024-38193 og en CVSS-score 7,8. Den er blevet beskrevet som en ”privilege escalation”-sårbarhed i Windows Ancillary Function Driver (AFD.sys) til WinSock.

Sårbarheden betegnes således som værende "alvorlig" og ikke ”kritisk”, som sårbarheder med en score på over 9 er, og som typisk er nemmere at udnytte end dem med score fra syv til ni. Men den har åbenbart været relevant for Lazarus at kaste sig over i forventning om, at der var et passende udbytte.

Og det har den i al fald været, for succesfuld udnyttelse kan give en angriber SYSTEM-rettigheder ifølge Microsofts meddelelse om fejlen, der blev kendt i forbindelse med Patch Tuesday i sidste uge.

Researcherne bag fejlen og rapporteringen kommer fra virksomheden Gen Digital, der ejer en række sikkerheds- og supportsoftwareløsninger som Norton, Avast, Avira, AVG, ReputationDefender og CCleaner. Researcherne fortæller ifølge The Hacker News, at sårbarheden har gjort det muligt for angribere at omgå normale sikkerhedsbegrænsninger og få adgang til følsomme systemområder, som de fleste brugere og administratorer ikke kan nå.

Varsom med at bruge teknologien

En anden interessant iagttagelse fra researcherne er, at angrebene var karakteriseret ved brugen af ​​et rootkit kaldet FudModule i et forsøg på at undgå opdagelse. Dette er efter det oplyste en foretrukken teknologi fra Lazarus’ side, da gruppen også brugte denne i forbindelse med en anden privilege escalation-sårbarhed, som Microsoft rettede i februar 2024.

Begge disse angreb er bemærkelsesværdige, skriver The Hacker News, fordi de drager fordel af en sikkerhedsfejl i en driver, der allerede er installeret på en Windows-vært i modsætning til at "bringe" en modtagelig driver ind og bruge den til at omgå sikkerhedsforanstaltninger. Altså en modsætning til traditionelle angreb, der betegnes som Bring Your Own Vulnerable Driver (BYOVD)-angreb.

Cybersikkerhedsfirmaet Avast har beskrevet tidligere angreb, hvor rootkittet har været leveret ved hjælp af en fjernadgangstrojan Kaolin RAT. Det peger ifølge cybersikkerhedsfirmaet på, at Lazarus er meget forsigtig med at bruge rootkittet, og implementerer det kun efter behov ”under de rigtige omstændigheder."

Links:

https://thehackernews.com/2024/08/microsoft-patches-zero-day-flaw.html

Keywords: 
nordkorea