Microsoft, yüksek önem derecesine sahip bir Windows Çekirdeği ayrıcalık yükseltme güvenlik açığını, bu kusurun sıfır gün olarak kullanıldığı yönündeki bilgilendirilmesinden altı ay sonra Şubat ayında yamaladı.
CVE-2024-21338 olarak takip edilen güvenlik açığı, Avast Kıdemli Kötü Amaçlı Yazılım Araştırmacısı Jan Vojtěšek tarafından appid.sys Windows AppLocker sürücüsünde bulundu ve geçen Ağustos ayında Microsoft'a aktif olarak yararlanılan bir sıfır gün olarak bildirildi.
Güvenlik açığı, Windows 10 ve Windows 11'in (en son sürümler dahil) birden çok sürümünün yanı sıra Windows Server 2019 ve 2022 çalıştıran sistemleri de etkiliyor.
Microsoft, başarılı bir şekilde yararlanmanın, yerel saldırganların kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda SİSTEM ayrıcalıkları elde etmesini sağladığını açıklıyor.
Redmond, “Bu güvenlik açığından yararlanmak için bir saldırganın öncelikle sistemde oturum açması gerekir. Daha sonra saldırgan, güvenlik açığından yararlanabilecek ve etkilenen sistemin kontrolünü ele geçirebilecek özel hazırlanmış bir uygulamayı çalıştırabilir” diyor.
Şirket, güvenlik açığını 13 Şubat'ta yamaladı ve 28 Şubat Çarşamba günü CVE-2024-21338'in yaygın olarak kullanıldığını doğrulamak için uyarı belgesini güncelledi, ancak saldırılarla ilgili herhangi bir ayrıntı açıklamadı.
Altı ay sonra yamalı Ilk rapor
Ancak Avast, BleepingComputer'a, Kuzey Koreli Lazarus eyaleti bilgisayar korsanlarının, çekirdek düzeyinde erişim elde etmek ve güvenlik araçlarını kapatmak için en az Ağustos 2023'ten bu yana saldırılardaki kusuru sıfır gün olarak kullandıklarını ve bu sayede kullanımı daha kolay olan güvenlik araçlarını kullanmaktan kaçındıklarını söyledi. BYOVD (Kendi Savunmasız Sürücünüzü Getirin) tekniklerini tespit edin
“Saldırganın bakış açısına göre, yöneticiden çekirdeğe geçiş yepyeni bir olasılıklar alanı açıyor. Çekirdek düzeyinde erişimle saldırgan, güvenlik yazılımını bozabilir, enfeksiyon göstergelerini gizleyebilir (dosyalar, ağ etkinliği, işlemler vb. dahil), devre dışı bırakabilir Avast, çekirdek modu telemetrisi, hafifletici önlemlerin kapatılması ve daha fazlasını yaptı.” diye açıkladı.
“Ayrıca, PPL'nin (Korumalı Süreç Işığı) güvenliği yönetici-çekirdek sınırına dayandığından, varsayımsal saldırganımız aynı zamanda korunan süreçlere müdahale etme veya keyfi bir sürece koruma ekleme yeteneğini de kazanır. Bu, özellikle lsass durumunda güçlü olabilir. RunAsPPL ile korunuyor çünkü PPL'yi atlamak, saldırganın normalde erişilemeyen kimlik bilgilerini atmasına olanak sağlayabilir.”
Lazarus, bir çekirdek okuma/yazma temel öğesi oluşturmak için bu kusurdan yararlandı ve güncellenmiş bir FudModule rootkit sürümünün doğrudan çekirdek nesnesi manipülasyonunu gerçekleştirmesini sağladı.
Bu yeni FudModule sürümü, tespitten kaçınmak ve AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon ve HitmanPro güvenlik korumalarını kapatmak için yeni ve güncellenmiş rootkit teknikleri dahil olmak üzere önemli gizlilik ve işlevsellik iyileştirmeleriyle birlikte gelir.
Avast, saldırıları analiz ederken aynı zamanda Lazarus tarafından kullanılan, önceden bilinmeyen bir uzaktan erişim trojan (RAT) kötü amaçlı yazılımını da keşfetti ve bu, Nisan ayındaki BlackHat Asya sunumunun odak noktası olacak.
Avast, “Yöneticiden çekirdeğe sıfır gün artık yanmış olduğundan, Lazarus önemli bir zorlukla karşı karşıya. Ya yeni bir sıfır gün açığı keşfedebilirler ya da eski BYOVD tekniklerine geri dönebilirler” dedi.
Windows kullanıcılarının, Lazarus'un CVE-2024-21338 saldırılarını engellemek için Şubat 2024 Yaması Salı güncellemelerini mümkün olan en kısa sürede yüklemeleri önerilir.