Microsoft Windows’ta yeni düzeltilen bir güvenlik açığı, Kuzey Kore ile bağlantılı, devlet destekli, üretken bir aktör olan Lazarus Group tarafından sıfır gün açığı olarak kullanıldı.
Güvenlik açığı, şu şekilde izlendi: CVE-2024-38193 (CVSS puanı: 7.8), WinSock için Windows Yardımcı İşlev Sürücüsü’nde (AFD.sys) bir ayrıcalık yükseltme hatası olarak tanımlanmıştır.
Microsoft, geçen hafta bu kusur için bir danışma yazısında “Bu güvenlik açığından başarıyla yararlanan bir saldırgan SYSTEM ayrıcalıkları elde edebilir” dedi. Teknoloji devi, bu sorunu aylık Patch Tuesday güncellemesinin bir parçası olarak ele aldı.
Kusuru keşfedip bildiren kişiler Gen Digital araştırmacıları Luigino Camastra ve Milánek’tir. Gen Digital, Norton, Avast, Avira, AVG, ReputationDefender ve CCleaner gibi bir dizi güvenlik ve yardımcı yazılım markasının sahibidir.
Şirket geçen hafta “Bu kusur, hassas sistem alanlarına yetkisiz erişim sağlamalarına olanak sağladı,” açıklamasında bulunarak, istismarı Haziran 2024’ün başlarında keşfettiğini ekledi. “Bu güvenlik açığı, saldırganların normal güvenlik kısıtlamalarını aşmalarına ve çoğu kullanıcının ve yöneticinin erişemediği hassas sistem alanlarına erişmelerine olanak sağladı.”
Siber güvenlik sağlayıcısı ayrıca saldırıların, tespit edilmekten kaçınmak için FudModule adı verilen bir rootkit kullanılarak gerçekleştirildiğini belirtti.
Saldırılarla ilgili kesin teknik detaylar henüz bilinmemekle birlikte, söz konusu güvenlik açığı Microsoft’un Şubat 2024’te düzelttiği ve Lazarus Group tarafından FudModule’u düşürmek için silah olarak kullanılan başka bir ayrıcalık yükseltmesini hatırlatıyor.
Özellikle, AppLocker sürücüsünde (appid.sys) kök salmış bir Windows çekirdek ayrıcalık yükseltme açığı olan CVE-2024-21338’in (CVSS puanı: 7,8) istismarı söz konusuydu; bu, tüm güvenlik kontrollerini atlatarak FudModule kök setini çalıştıran ve keyfi kod yürütmeyi mümkün kılan bir güvenlik açığıydı.
Bu iki saldırı da dikkat çekici çünkü bunlar, Windows ana bilgisayarında zaten yüklü olan bir sürücüdeki güvenlik açığından yararlanarak, geleneksel bir “Kendi Güvenlik Açığını Kendin Getir” (BYOVD) saldırısının ötesine geçiyor ve güvenlik önlemlerini aşmak için güvenlik açığı olan bir sürücüyü “getirmek” yerine bunu kullanıyor.
Siber güvenlik firması Avast tarafından ayrıntılarıyla açıklanan önceki saldırılar, rootkit’in Kaolin RAT olarak bilinen uzaktan erişim trojanıyla iletildiğini ortaya koymuştu.
Çek şirketi o dönemde “FudModule, Lazarus’un kötü amaçlı yazılım ekosisteminin geri kalanına yalnızca gevşek bir şekilde entegre edilmiştir,” demiş ve “Lazarus, rootkit’i kullanma konusunda çok dikkatlidir ve bunu yalnızca doğru koşullar altında ve talep üzerine dağıtır.” demişti.