Windows 这个零日漏洞正在被黑客利用,以获取内核权限

X0_0X2024-03-01 11:34:57

研究人员近期发现,Lazarus 黑客组织正在试图利用 Windows AppLocker 驱动程序 appid.sys 中的零日漏洞 CVE-2024-21338,获得内核级访问权限并关闭安全工具,从而能够轻松绕过 BYOVD(自带漏洞驱动程序)技术。



Avast 网络安全分析师发现了这一网络攻击活动,随后便立刻向微软方面上报。微软在 2024 年 2 月发布的安全更新中解决安全漏洞的问题。不过,微软并未将 CVE-2024-21338 安全漏洞标记为零日漏洞。


Lazarus 黑客组织利用 CVE-2024-21338 安全漏洞在其 FudModule rootkit 的更新版本中创建了一个读/写内核基元(ESET 于 2022 年底首次记录了 CVE-2024-21338 漏洞。此前,rootkit 曾滥用戴尔驱动程序进行了 BYOVD 攻击)


新版 FudModule 在隐蔽性和功能性方面有了显著增强,包括但不限于采用了新技术逃避检测和关闭 Microsoft Defender 和 CrowdStrike Falcon 等安全保护。此外,通过检索大部分攻击链,Avast 还发现了 Lazarus 黑客组织使用了一种此前从未记录的远程访问木马 (RAT)。Avast 承诺将在 4 月份的 BlackHat Asia 上分享有关该木马的更多细节。


Lazarus 黑客组织对 0 Day 漏洞利用详情


Lazarus 黑客组织利用了微软 "appid.sys "驱动程序中的一个漏洞,该驱动程序是 Windows AppLocker 组件,主要提供应用程序白名单功能。


Lazarus 团队成员通过操纵 appid.sys 驱动程序中的输入和输出控制(IOCTL)调度程序来调用任意指针,诱使内核执行不安全代码,从而绕过安全检查。



漏洞利用中使用的直接系统调用(Avast)


FudModule rootkit 与漏洞利用程序构建在同一模块内,执行直接内核对象 DKOM 操作,以关闭安全产品、隐藏恶意活动并维持被入侵系统的持久性。(安全产品包括 AhnLab V3 Endpoint Security、Windows Defender、CrowdStrike Falcon 等以及 HitmanPro 反恶意软件解决方案)


Avast 在新版 rootkit 中发现了新的隐身特性和扩展功能,例如通过 DKOM 进行选择性和有针对性的破坏、增强篡改驱动程序签名执行和安全启动功能等。Avast 还指出,这种新的安全漏洞利用策略标志着威胁攻击者内核访问能力有了重大突破,使其能够发起更隐蔽的网络攻击,并在被入侵网络系统上持续更长时间。



最后,安全人员指出,针对 CVE-2024-21338 安全漏洞唯一有效的安全措施就是尽快应用 2024 年 2 月的 发布的安全更新。


参考文章:


https://www.bleepingcomputer.com/news/security/lazarus-hackers-exploited-windows-zero-day-to-gain-kernel-privileges/


黑客零日漏洞
本作品采用《CC 协议》,转载必须注明作者和本文链接
Clement Lecigne在报告中指出,这些供应商通过扩散具有攻击性的工具,来武装那些无法在内部开发这些能力的政府及组织。点击后,这些URL将收件人重定向到承载安卓或iOS漏洞的网页,然后他们又被重定向到合法的新闻或货运追踪网站。在拜登签署“限制使用商业间谍软件”的行政命令几天后,这些消息就被披露出来。供应商秘密储存和使用零日漏洞在短时间内对互联网仍构成严重的风险。
一些没有被软件制造商所发现的漏洞,正在被很多的黑客组织以及勒索软件团伙进行利用。PrestaShop表示,没有被攻击的用户,在不需要使用MySQL Smarty缓存存储功能的时候,建议删除该功能,虽然这个功能是默认禁用的,但是调查发现,这次的攻击中有黑客独立启用它的证据。
近日,谷歌的威胁分析小组 发现了两个具有高度针对性的移动间谍软件活动,它们使用零日漏洞针对 iPhone 和 Android 智能手机用户部署监控软件。谷歌研究人员怀疑,涉案人员可能是商业间谍软件供应商 Variston 的客户、合作伙伴或其他密切关联方。3 月 28 日,拜登政府发布了一项行政命令,限制联邦政府使用商业监控工具,但谷歌的调查结果表明,这些努力并未阻止商业间谍软件的出现。
微软本周二在安全公告中表示,已经修复了存在于 Win10、Win11 以及 Windows Server 在内,所有受支持 Windows 版本内的零日漏洞。微软表示该漏洞存在于 Windows 通用日志文件系统中,攻击者利用该漏洞可获取设备的所有访问权限。
除了国家支持的黑客组织,勒索软件团伙和其他以求财为目的的攻击者也加入了未修复漏洞利用大军。
据报道,攻击者正在积极利用影响 Royal Elementor 插件和模板(最高版本为 1.3.78)的严重漏洞
据报道,攻击者正在积极利用影响 Royal Elementor 插件和模板(最高版本为 1.3.78)的严重漏洞
卡巴斯基表示,这一行为开始于2019年,攻击活动当前仍在继续。目前仅公开了该恶意软件的部分功能细节,对最终有效载荷的分析仍在进行当中。尽管指控内容相当严重,但联邦安全局没有提供任何实质性证据。卡巴斯基表示,此次攻击还影响到其莫斯科总部及其他多国的员工。苹果公司回应称,卡巴斯基并未表示发现的漏洞会对iOS 15.7之后的版本有效,当前的苹果iPhone系统版本为16.5。
X0_0X
暂无描述