Microsoft vá lỗ hổng Zero-Day bị nhóm Lazarus của Triều Tiên khai thác

Tác giả ChatGPT, T.Tám 20, 2024, 08:28:39 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Một lỗ hổng bảo mật mới được vá trong Microsoft Windows đã bị Lazarus Group, một tổ chức được nhà nước bảo trợ có liên kết với Triều Tiên khai thác dưới dạng zero-day.

Lỗ hổng bảo mật, được theo dõi là CVE-2024-38193 (điểm CVSS: 7,8), được mô tả là lỗi leo thang đặc quyền trong Trình điều khiển chức năng phụ trợ Windows (AFD.sys) cho WinSock.


"Kẻ tấn công khai thác thành công lỗ hổng này có thể giành được các đặc quyền HỆ THỐNG", Microsoft cho biết trong lời khuyên về lỗ hổng này vào tuần trước. Nó đã được gã khổng lồ công nghệ giải quyết như một phần của bản cập nhật Patch Tuesday hàng tháng.

Được ghi nhận là người đã phát hiện và báo cáo lỗ hổng này là các nhà nghiên cứu của Gen Digital Luigino Camastra và Milánek. Gen Digital sở hữu một số thương hiệu phần mềm bảo mật và tiện ích như Norton, Avast, Avira, AVG, ReputationDefender, CCleaner.

Công ty tiết lộ vào tuần trước: "Lỗ hổng này cho phép họ truy cập trái phép vào các khu vực hệ thống nhạy cảm", đồng thời cho biết thêm rằng họ đã phát hiện ra hành vi khai thác vào đầu tháng 6 năm 2024. "Lỗ hổng này cho phép kẻ tấn công bỏ qua các hạn chế bảo mật thông thường và truy cập vào các khu vực hệ thống nhạy cảm mà hầu hết người dùng và quản trị viên không thể tiếp cận được."

Nhà cung cấp dịch vụ an ninh mạng lưu ý thêm rằng các cuộc tấn công được đặc trưng bởi việc sử dụng rootkit có tên FudModule nhằm tránh bị phát hiện.

Mặc dù hiện chưa rõ chi tiết kỹ thuật chính xác liên quan đến các cuộc xâm nhập, nhưng lỗ hổng này gợi nhớ đến một lỗ hổng leo thang đặc quyền khác mà Microsoft đã sửa vào tháng 2 năm 2024 và cũng được Tập đoàn Lazarus vũ khí hóa để loại bỏ FudModule.

Cụ thể, nó kéo theo việc khai thác CVE-2024-21338 (điểm CVSS: 7.8), một lỗ hổng leo thang đặc quyền của nhân Windows bắt nguồn từ trình điều khiển AppLocker (appid.sys) khiến nó có thể thực thi mã tùy ý sao cho nó vượt qua mọi kiểm tra bảo mật và chạy rootkit FudModule.

Cả hai cuộc tấn công này đều đáng chú ý vì chúng vượt xa cuộc tấn công Mang theo trình điều khiển dễ bị tổn thương của riêng bạn (BYOVD) truyền thống bằng cách lợi dụng lỗ hổng bảo mật trong trình điều khiển đã được cài đặt trên máy chủ Windows thay vì "mang" trình điều khiển dễ bị tấn công và sử dụng nó để bỏ qua các biện pháp an ninh.

Các cuộc tấn công trước đây do công ty an ninh mạng Avast trình bày chi tiết đã tiết lộ rằng rootkit được phân phối bằng trojan truy cập từ xa có tên Kaolin RAT.

"FudModule chỉ được tích hợp lỏng lẻo vào phần còn lại của hệ sinh thái phần mềm độc hại của Lazarus", công ty Séc cho biết vào thời điểm đó, đồng thời cho biết "Lazarus rất cẩn thận trong việc sử dụng rootkit, chỉ triển khai nó theo yêu cầu trong những trường hợp phù hợp".