Microsoft, зная о наличии уязвимости нулевого денька (0-day) в Windows, продолжала держать её открытой в течение 6 месяцев. Само собой, киберпреступники пользовались таким подарком.
© Unsplash
Невзирая на то что компания убрала брешь в прошедшем месяце, группировка Lazarus использовала её в атаках с августа 2023 года для установки руткита на компы пострадавших.
Неправильная оценка препядствия со стороны Microsoft вышла из-за халатного чувства к способности увеличения приемуществ с администраторских до ядра (admin-to-kernel). К примеру, спецы антивирусной компании Avast разъясняют это так:
«Когда речь входит о безопасности в Windows, есть очень узкая грань меж админом и ядром. Microsoft считает, что увеличение прав “админ-ядро” не является нарушением границ. Подругому, нет никаких гарантий со стороны разработчиков, что атакующие не получат доступ к ядру».
В итоге кибергруппа Lazarus могла тихо монтировать в системы пострадавших кастомный руткит FudModule, который, по словам Avast, действовал очень тайно и был написан специалистами.
Имея возможность вести взаимодействие с ядром впрямую, FudModule мог скрывать процессы, файлы и другую активность, параллельно контролируя более глубочайшие уровни самой операционной системы. Больше того, руткит позволял обходить защитные механизмы Windows вроде Endpoint Detection and Response, Protected Process Light и т. п.
Идет речь об уязвимости под идентификатором CVE-2024-21338, которую Microsoft убрала с выходом февральского набора патчей. Использование заключалась в использовании драйвера appid.sys, отвечающего за работу службы Windows AppLocker.
