Lazarus hacker grubu, Windows Kernel Ayrıcalık Yükseltme ile ilişkilendirilen bir Microsoft güvenlik açığını kullanarak çekirdek düzeyinde okuma/yazma yetkisi elde ettiği bildiriliyor.
Bu daha önce bilinmeyen bir güvenlik açığıdır ve appid.sys AppLocker sürücüsünde bulunur.
Bu güvenlik açığı, CVE-2024-21338 olarak belirlendi ve Microsoft tarafından Şubat yamasında ele alındı.
Saldırganlar bir kez bu açığı kullanarak bir çekirdek seviyesi araç işlevi oluşturduktan sonra, FudModule kök kiti’nin yeni sürümünde doğrudan çekirdek nesne değiştirerek saldırıyı gerçekleştirebilirler. Kök kiti’nde tablo girişi değiştirme tekniklerinde önemli bir ilerleme kaydedilmiştir.
Avast raporuna göre, tehdit aktörleri önceden yöneticiye çekirdek ile yönetmek için YOVD (Bring Your Own Vulnerable Driver – Kendi Zafiyetli Sürücünüzü Getir) tekniklerini kullanıyorlardı.
İlginizi çekebilecek yazımız: Hackthebox Beep Çözümü
Bu yeni zero-day açığı çekirdek düzeyinde okuma/yazma temelleri oluşturmak için yeni bir yol açmış gibi görünüyor.
Daha fazla araştırma yapıldığında bu sorunun teknik olarak Microsoft’un uzun süredir bıraktığı bir ince çizgi olan Windows Güvenliği’nden kaynaklandığı keşfedildi.
Microsoft yöneticiye çekirdek arasındaki zafiyetleri yamaladı.
Bu ayrıca yönetici düzeyinde ayrıcalıklara sahip olan tehdit aktörlerinin hala Windows çekirdeğini sömürme yeteneğine sahip oldukları anlamına gelir.
Çekirdek düzeyinde erişim sağlandığında, tehdit aktörleri yazılımın bozulmasından, açığın göstergelerinin gizlenmesine, çekirdek modu telemetri devre dışı bırakmaya kadar her türlü kötü niyetli faaliyeti gerçekleştirebilirler.