Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. Lazarus Hacker Grubu, Windows Çekirdek Zeroday Açığını Kullandı

Lazarus Hacker Grubu, Windows Çekirdek Zeroday Açığını Kullandı

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 4 dk okuma süresi
215 0
Kuzey Koreli Hackerlar

Lazarus hacker grubu,  Windows Kernel Ayrıcalık Yükseltme ile ilişkilendirilen bir Microsoft güvenlik açığını kullanarak çekirdek düzeyinde okuma/yazma yetkisi elde ettiği bildiriliyor.

Bu daha önce bilinmeyen bir güvenlik açığıdır ve appid.sys AppLocker sürücüsünde bulunur.

Bu güvenlik açığı, CVE-2024-21338 olarak belirlendi  ve Microsoft tarafından Şubat yamasında ele alındı.

Saldırganlar bir kez bu açığı kullanarak bir çekirdek seviyesi araç işlevi oluşturduktan sonra, FudModule kök kiti’nin yeni sürümünde doğrudan çekirdek nesne değiştirerek saldırıyı gerçekleştirebilirler. Kök kiti’nde tablo girişi değiştirme tekniklerinde önemli bir ilerleme kaydedilmiştir.

Lazarus Hacker Grubu Windows Zeroday Açığını Kullanıyor

Yeni Windows Güvenlik Açığı

Avast raporuna göre, tehdit aktörleri önceden yöneticiye çekirdek ile yönetmek için YOVD (Bring Your Own Vulnerable Driver – Kendi Zafiyetli Sürücünüzü Getir) tekniklerini kullanıyorlardı.

İlginizi çekebilecek yazımız: Hackthebox Beep Çözümü

Bu yeni zero-day açığı çekirdek düzeyinde okuma/yazma temelleri oluşturmak için yeni bir yol açmış gibi görünüyor.

Daha fazla araştırma yapıldığında bu sorunun teknik olarak Microsoft’un uzun süredir bıraktığı bir ince çizgi olan Windows Güvenliği’nden kaynaklandığı keşfedildi.

Microsoft yöneticiye çekirdek arasındaki zafiyetleri yamaladı.

Lazarus Hacker Grubu

Bu ayrıca yönetici düzeyinde ayrıcalıklara sahip olan tehdit aktörlerinin hala Windows çekirdeğini sömürme yeteneğine sahip oldukları anlamına gelir.

Çekirdek düzeyinde erişim sağlandığında, tehdit aktörleri yazılımın bozulmasından, açığın göstergelerinin gizlenmesine, çekirdek modu telemetri devre dışı bırakmaya kadar her türlü kötü niyetli faaliyeti gerçekleştirebilirler.

Lazarus ve Üç Tür Yönetici-Çekirdeği Açığı

Üç farklı yönetici-çekirdek sömürüsü türü keşfedildi ve her biri saldırı zorluğu ile gizlilik arasında bir denge sağlar.
  1. N-Gün BYOVD Sömürüleri (saldırganın dosya sistemine zafiyetli bir sürücü bırakması ve bunu çekirdeğe yüklemesi gereklidir)
  2. Zero-day sömürüleri (saldırganın bir zero-day güvenlik açığı keşfetmesi gereklidir)
  3. BYOVD Ötesi (Lazarus tehdit grubu tarafından çekirdeği sömürmek için kullanılır).

Ayrıca, Lazarus grubu Windows sistemlerinde yönetici-çekirdek sınırını aşmak için üçüncü yöntemi seçti.

Bu yaklaşım ayrıca, tehdit aktörlerinin daha uzun süre tespit edilmemesini sağlayan başka bir zafiyetle değiş tokuş yapma imkanı sunar.

Lazarus Hacker Grubu
 

Exploit Süreci

Hacker grubunun çalışmasında, gerekli tüm Windows API işlevlerini dinamik olarak çözerek hem sömürü hem de kök kiti için bir kez kurulum yaparak başlar. Bundan sonra, sömürü sürümün bu kök kiti destekleyip desteklemediğini kontrol eder.

Eğer destekleniyorsa, sabit değerler, bazen yapı revizyonunun güncellenmesine yol açabilen yapı sürümü için özelleştirilir.

Bu, sömürünün yürütme sırasında herhangi bir kesintiye uğramamasını ve geniş bir hedef makine yelpazesini desteklemesini sağlamak içindir.

FudModule Kök Kiti, kullanıcı modu iş parçacığını etkileyen okuma/yazma temelli bir veri kök kiti olup, sistem çağrılarını kullanarak keyfi çekirdek belleğini okuyup yazabilir.

Tamamen kullanıcı alanından yürütülür ve çekirdek değişiklikler kök kiti’nin ayrıcalıklarıyla yapılır.

Haber Kaynağı: Cyber Security News

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir