Microsoft, зная о наличии уязвимости нулевого дня (0-day) в Windows, продолжала держать её открытой в течение шести месяцев.
Само собой, киберпреступники воспользовались таким подарком. Несмотря на то что корпорация устранила брешь в прошлом месяце, группировка Lazarus использовала её в атаках с августа 2023 года для установки руткита на компьютеры жертв.
Некорректная оценка проблемы со стороны Microsoft получилась из-за небрежного отношения к возможности повышения привилегий с администраторских до ядра (admin-to-kernel). Например, специалисты антивирусной компании Avast объясняют это так:
В результате кибергруппа Lazarus могла спокойно устанавливать в системы жертв кастомный руткит FudModule, который, по словам Avast, действовал максимально скрытно и был написан профессионалами.
Имея возможность взаимодействовать с ядром напрямую, FudModule мог прятать процессы, файлы и другую активность, параллельно контролируя наиболее глубокие уровни самой операционной системы.
Более того, руткит позволял обходить защитные механизмы Windows вроде Endpoint Detection and Response, Protected Process Light и т. п. Речь идет об уязвимости под идентификатором CVE-2024-21338, которую Microsoft устранила с выходом февральского набора патчей. Эксплуатация заключалась в использовании драйвера appid.sys, отвечающего за работу службы Windows AppLocker.
Само собой, киберпреступники воспользовались таким подарком. Несмотря на то что корпорация устранила брешь в прошлом месяце, группировка Lazarus использовала её в атаках с августа 2023 года для установки руткита на компьютеры жертв.
Некорректная оценка проблемы со стороны Microsoft получилась из-за небрежного отношения к возможности повышения привилегий с администраторских до ядра (admin-to-kernel). Например, специалисты антивирусной компании Avast объясняют это так:
В результате кибергруппа Lazarus могла спокойно устанавливать в системы жертв кастомный руткит FudModule, который, по словам Avast, действовал максимально скрытно и был написан профессионалами.
Имея возможность взаимодействовать с ядром напрямую, FudModule мог прятать процессы, файлы и другую активность, параллельно контролируя наиболее глубокие уровни самой операционной системы.
Более того, руткит позволял обходить защитные механизмы Windows вроде Endpoint Detection and Response, Protected Process Light и т. п. Речь идет об уязвимости под идентификатором CVE-2024-21338, которую Microsoft устранила с выходом февральского набора патчей. Эксплуатация заключалась в использовании драйвера appid.sys, отвечающего за работу службы Windows AppLocker.
