Lazarus Hackers Explotaron Fallo en el Kernel de Windows como Zero-Day en Ataques Recientes

XPoint
Publicado el 29/02/2024

Fallo en el Kernel de Windows Los notorios actores del grupo Lazarus explotaron recientemente una vulnerabilidad de escalada de privilegios parcheada en el Kernel de Windows como un zero-day para obtener acceso de nivel kernel y desactivar software de seguridad en hosts comprometidos.

La vulnerabilidad en cuestión es CVE-2024-21338 (puntuación CVSS: 7.8), que puede permitir a un atacante obtener privilegios de SISTEMA. Fue resuelto por Microsoft a principios de este mes como parte de las actualizaciones del «Patch Tuesday».

«Para aprovechar esta vulnerabilidad, un atacante primero tendría que iniciar sesión en el sistema», dijo Microsoft. «Luego, el atacante podría ejecutar una aplicación especialmente diseñada que podría explotar la vulnerabilidad y tomar el control de un sistema afectado.»

Ciberseguridad Aunque no hubo indicios de explotación activa de CVE-2024-21338 en el momento de la publicación de las actualizaciones, Microsoft revisó el miércoles su «Evaluación de explotabilidad» para la falla a «Detección de Explotación».

Actualmente no está claro cuándo ocurrieron los ataques, pero se dice que la vulnerabilidad se introdujo en Windows 10, versión 1703 (RS2/15063) cuando se implementó por primera vez el controlador IOCTL (siglas de control de entrada/salida) 0x22A018.

La empresa de ciberseguridad Avast, que descubrió un exploit en la naturaleza administrador-a-kernel para la falla, afirmó que la manipulación primitiva de lectura/escritura del kernel permitió al grupo Lazarus «realizar manipulación directa de objetos de kernel en una versión actualizada de su rootkit FudModule basado solo en datos».

El rootkit FudModule fue informado por primera vez por ESET y AhnLab en octubre de 2022 y es capaz de desactivar la monitorización de todas las soluciones de seguridad en hosts infectados mediante un ataque Bring Your Own Vulnerable Driver (BYOVD), donde un atacante implanta un controlador susceptible a una falla conocida o zero-day para escalar privilegios.

Lo que hace significativo el último ataque es que va «más allá de BYOVD al explotar un zero-day en un controlador que se sabe que ya está instalado en la máquina objetivo». Ese controlador susceptible es appid.sys, crucial para el funcionamiento de un componente de Windows llamado AppLocker responsable del control de aplicaciones.

Fallo en el Kernel de Windows La explotación real del grupo Lazarus implica el uso de CVE-2024-21338 en el controlador appid.sys para ejecutar código arbitrario de una manera que elude todas las verificaciones de seguridad y ejecuta el rootkit FudModule.

«FudModule está solo ligeramente integrado en el resto del ecosistema de malware de Lazarus y Lazarus tiene mucho cuidado al usar el rootkit, desplegándolo solo cuando es necesario bajo las circunstancias adecuadas», dijo el investigador de seguridad Jan Vojtěšek, describiendo el malware como en desarrollo activo.

Ciberseguridad Además de tomar medidas para eludir la detección desactivando los registradores del sistema, FudModule está diseñado para desactivar software de seguridad específico como AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro y Microsoft Defender Antivirus (anteriormente Windows Defender).

Este desarrollo marca un nuevo nivel de sofisticación técnica asociado con los grupos de piratas informáticos norcoreanos, que continúan mejorando su arsenal para una mayor sigilo y funcionalidad. También ilustra las técnicas elaboradas utilizadas para obstaculizar la detección y dificultar su seguimiento.

El enfoque multiplataforma del colectivo adversario también se ejemplifica en el hecho de que se le ha observado utilizando enlaces de invitación falsos a reuniones de calendario para instalar sigilosamente malware en sistemas Apple macOS, una campaña que fue documentada anteriormente por SlowMist en diciembre de 2023.

«El Grupo Lazarus sigue siendo uno de los actores de amenazas persistentes avanzadas más prolíficos y de larga data», dijo Vojtěšek. «El rootkit FudModule sirve como el ejemplo más reciente, representando una de las herramientas más complejas que Lazarus tiene en su arsenal.»

Preguntas frecuentes

¿Qué es el Rootkit?

+

Un rootkit es un tipo de software malicioso diseñado para darle a un hacker la capacidad de introducirse en un dispositivo y hacerse con el control del mismo. Por lo general, los rootkits afectan el software o el sistema operativo del dispositivo que infectan, pero algunos pueden actuar sobre su hardware o firmware.

¿Qué es un CyberSOC?

+

CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos