Een onlangs gepatchte beveiligingsfout in Microsoft Windows werd uitgebuit als zero-day door Lazarus Group, een productieve door de staat gesponsorde partij die banden heeft met Noord-Korea.
Het beveiligingslek, gevolgd als CVE-2024-38193 (CVSS-score: 7,8) wordt beschreven als een privilege-escalatiebug in de Windows Ancillary Function Driver (AFD.sys) voor WinSock.
“Een aanvaller die deze kwetsbaarheid succesvol misbruikt, kan SYSTEM-privileges krijgen”, zei Microsoft vorige week in een advies over de fout. De techgigant heeft het aangepakt als onderdeel van de maandelijkse Patch Tuesday-update.
De ontdekking en rapportage van het lek worden toegeschreven aan Gen Digital-onderzoekers Luigino Camastra en Milánek. Gen Digital is eigenaar van een aantal beveiligings- en hulpprogramma-softwaremerken zoals Norton, Avast, Avira, AVG, ReputationDefender en CCleaner.
“Dankzij deze fout konden ze ongeautoriseerde toegang krijgen tot gevoelige systeemgebieden”, maakte het bedrijf vorige week bekend, en het bedrijf voegde eraan toe dat het de exploit begin juni 2024 had ontdekt. ”Dankzij de kwetsbaarheid konden aanvallers normale beveiligingsbeperkingen omzeilen en toegang krijgen tot gevoelige systeemgebieden die de meeste gebruikers en beheerders niet kunnen bereiken.”
De leverancier van cyberbeveiliging merkte verder op dat de aanvallen werden gekenmerkt door het gebruik van een rootkit genaamd FudModule in een poging om detectie te omzeilen.
Hoewel de exacte technische details van de inbraken nog onbekend zijn, doet de kwetsbaarheid denken aan een ander privilege-escalatieprobleem dat Microsoft in februari 2024 repareerde en dat ook door de Lazarus Group werd gebruikt om FudModule te verwijderen.
Het betrof met name het misbruiken van CVE-2024-21338 (CVSS-score: 7,8), een fout in de Windows-kernel met betrekking tot privilege-escalatie die geworteld is in de AppLocker-driver (appid.sys). Hiermee kan willekeurige code worden uitgevoerd, waardoor alle beveiligingscontroles worden omzeild en de FudModule-rootkit wordt uitgevoerd.
Beide aanvallen zijn opmerkelijk omdat ze verder gaan dan de traditionele BYOVD-aanval (Bring Your Own Vulnerable Driver): ze maken namelijk misbruik van een beveiligingslek in een driver die al op een Windows-host is geïnstalleerd, in plaats van een kwetsbare driver te ‘brengen’ en deze te gebruiken om beveiligingsmaatregelen te omzeilen.
Eerdere aanvallen van cybersecuritybedrijf Avast lieten zien dat de rootkit wordt verspreid via een trojan voor externe toegang, bekend als Kaolin RAT.
“FudModule is slechts losjes geïntegreerd in de rest van het malware-ecosysteem van Lazarus”, aldus het Tsjechische bedrijf destijds. “Lazarus is zeer voorzichtig met het gebruik van de rootkit en implementeert deze alleen op aanvraag en onder de juiste omstandigheden.”