Eine kürzlich behobene Sicherheitslücke in Microsoft Windows wurde als Zero-Day von der Lazarus-Gruppe ausgenutzt, einer produktiven staatlich unterstützten Gruppierung, die mit Nordkorea in Verbindung steht.
Die Sicherheitslücke, die als CVE-2024-38193 verfolgt wird (CVSS-Score: 7.8), wurde als Privileg-Eskalations-Bug im Windows Ancillary Function Driver (AFD.sys) für WinSock beschrieben.
“Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte SYSTEM-Privilegien erlangen”, erklärte Microsoft in einem Advisory für die Schwachstelle letzte Woche. Der Technologieriese behob dies im Rahmen seines monatlichen Patch-Dienstags-Updates.
Die Gen Digital-Forscher Luigino Camastra und Milánek werden für die Entdeckung und Meldung der Schwachstelle gelobt. Gen Digital besitzt eine Reihe von Sicherheits- und Dienstprogrammsoftwaremarken wie Norton, Avast, Avira, AVG, ReputationDefender und CCleaner.
“Diese Schwachstelle ermöglichte es ihnen, unbefugten Zugriff auf sensible Systembereiche zu erlangen”, teilte das Unternehmen letzte Woche mit und fügte hinzu, dass es die Ausnutzung Anfang Juni 2024 entdeckt habe. “Die Schwachstelle ermöglichte es Angreifern, normale Sicherheitsbeschränkungen zu umgehen und auf sensible Systembereiche zuzugreifen, die die meisten Benutzer und Administratoren nicht erreichen können.”
Der Cybersecurity-Anbieter wies zudem darauf hin, dass die Angriffe durch die Verwendung eines Rootkits namens FudModule gekennzeichnet waren, um einer Entdeckung zu entgehen.
Während die genauen technischen Details im Zusammenhang mit den Eindringlingen derzeit unbekannt sind, erinnert die Schwachstelle an eine andere Privileg-Eskalations-Schwachstelle, die Microsoft im Februar 2024 behoben hat und die ebenfalls von der Lazarus-Gruppe genutzt wurde, um FudModule einzusetzen.
Konkret handelte es sich um die Ausnutzung von CVE-2024-21338 (CVSS-Score: 7.8), einer Windows-Kernel-Privileg-Eskalations-Schwachstelle, die im AppLocker-Treiber (appid.sys) verwurzelt ist und es ermöglicht, beliebigen Code auszuführen, der alle Sicherheitsprüfungen umgeht und das FudModule-Rootkit ausführt.
Beide Angriffe sind bemerkenswert, da sie über einen herkömmlichen Bring Your Own Vulnerable Driver (BYOVD)-Angriff hinausgehen, indem sie eine Sicherheitslücke in einem Treiber ausnutzen, der bereits auf einem Windows-Host installiert ist, anstatt einen anfälligen Treiber “mitzubringen” und ihn zu verwenden, um Sicherheitsmaßnahmen zu umgehen.
Frühere Angriffe, die von der Cybersecurity-Firma Avast beschrieben wurden, zeigten, dass das Rootkit über einen Remote Access Trojaner namens Kaolin RAT bereitgestellt wird.
“FudModule ist nur lose in das übrige Malware-Ökosystem von Lazarus integriert”, erklärte das tschechische Unternehmen damals und betonte, dass “Lazarus sehr vorsichtig ist, das Rootkit zu verwenden, und es nur bei Bedarf unter den richtigen Umständen einsetzt.”
Quelle: https://ift.tt/3dLoXUT
Zusätzliche Elemente wie Diagramme und Infografiken können aufgrund des gegebenen Inputs nicht hinzugefügt werden.