Lazarus sfrutta zero-day Windows per ottenere privilegi del kernel

Gli hacker nordcoreani noti come Lazarus Group hanno sfruttato una falla nel driver Windows AppLocker (appid.sys) come zero-day per ottenere l'accesso a livello di kernel e disattivare gli strumenti di sicurezza. Ciò ha permesso loro di utilizzare la tecnica BYOVD (Bring Your Own Vulnerable Driver). Questa attività è stata rilevata dagli analisti di Avast, i quali l'hanno prontamente segnalata a Microsoft, portando a una correzione del difetto, ora tracciato come CVE-2024-21338, come parte del  Patch Tuesday di febbraio 2024. Tuttavia, l’azienda di Redmond non ha contrassegnato la falla come sfruttata come zero-day. Avast ha dichiarato Lazarus ha sfruttato CVE-2024-21338 per creare una primitiva del kernel di lettura/scrittura in una versione aggiornata del suo rootkit FudModule. Questa versione riesce ad eludere il rilevamento e disattivare protezioni di sicurezza come Microsoft Defender e CrowdStrike Falcon. Inoltre, Avast ha scoperto un trojan di accesso remoto (RAT) precedentemente non documentato utilizzato da Lazarus.

Lazarus: come avviene l’attacco per ottenere i privilegi del kernel

Il malware distribuito dagli hacker ha sfruttato una vulnerabilità nel driver "appid.sys" di Microsoft. Si tratta di un componente di Windows AppLocker che fornisce funzionalità di whitelist delle applicazioni. Lazarus lo sfrutta manipolando il dispatcher IOCTL (Input and Output Control) nel driver appid.sys per chiamare un puntatore arbitrario. In questo modo induce il kernel a eseguire codice non sicuro, aggirando così i controlli di sicurezza. Il rootkit FudModule, integrato nello stesso modulo dell'exploit, esegue operazioni di manipolazione diretta degli oggetti del kernel (DKOM) per disattivare i prodotti di sicurezza, nascondere attività dannose e mantenere la persistenza sul sistema violato. I software di sicurezza presi di mira sono AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon e la soluzione antimalware HitmanPro.

In questa versione del rootkit, Avast ha osservato nuove funzionalità invisibili e miglioramenti. Questi includono la capacità di sospettare processi protetti da Protected Process Light (PPL) manipolando le voci della tabella di gestione, interruzioni selettive e mirate tramite DKOM, miglioramenti nella manomissione di Driver Signature Enforcement e Secure Boot e altro ancora. Avast rileva che questa nuova tattica di exploit segna un'evoluzione significativa nelle capacità di accesso al kernel degli hacker. Ciò consente loro di lanciare attacchi più furtivi e persistere sui sistemi compromessi per periodi più lunghi. L'unica misura di sicurezza efficace è applicare gli aggiornamenti del Patch Tuesday di febbraio 2024 il prima possibile, poiché lo sfruttamento di un driver integrato di Windows da parte di Lazarus rende l'attacco particolarmente difficile da rilevare e fermare.