Microsoft a corrigé une vulnérabilité d’escalade de privilèges du noyau Windows de haute gravité en février, six mois après avoir été informé que la faille était exploitée comme un jour zéro.
Identifiée sous le numéro CVE-2024-21338, la faille de sécurité a été découverte par Jan Vojtěšek, chercheur principal en logiciels malveillants chez Avast, dans l’appid.pilote sys Windows AppLocker et signalé à Microsoft en août dernier comme un jour zéro activement exploité.
La vulnérabilité affecte les systèmes exécutant plusieurs versions de Windows 10 et Windows 11 (y compris les dernières versions), ainsi que Windows Server 2019 et 2022.
Microsoft explique qu’une exploitation réussie permet aux attaquants locaux d’obtenir des privilèges SYSTÈME lors d’attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
« Pour exploiter cette vulnérabilité, un attaquant devrait d’abord se connecter au système. Un attaquant pourrait alors exécuter une application spécialement conçue qui pourrait exploiter la vulnérabilité et prendre le contrôle d’un système affecté », explique Redmond.
La société a corrigé la vulnérabilité le 13 février et mis à jour l’avis le mercredi 28 février pour confirmer que CVE-2024-21338 avait été exploitée à l’état sauvage, mais elle n’a divulgué aucun détail concernant les attaques.
Corrigé six mois après le rapport initial
Cependant, Avast a déclaré à Breachtrace que les pirates informatiques de l’État nord-coréen Lazarus exploitaient la faille des attaques en tant que jour zéro depuis au moins août 2023 pour obtenir un accès au niveau du noyau et désactiver les outils de sécurité, leur permettant d’éviter d’utiliser des techniques BYOVD (Apportez votre propre pilote vulnérable) plus faciles à détecter
« Du point de vue de l’attaquant, passer de l’administrateur au noyau ouvre un tout nouveau domaine de possibilités. Avec un accès au niveau du noyau, un attaquant peut perturber les logiciels de sécurité, dissimuler des indicateurs d’infection (y compris les fichiers, l’activité réseau, les processus, etc.), désactivez la télémétrie en mode noyau, désactivez les atténuations, etc. », a expliqué Avast.
« De plus, comme la sécurité de PPL (Protected Process Light) repose sur la frontière entre l’administrateur et le noyau, notre attaquant hypothétique a également la possibilité de falsifier des processus protégés ou d’ajouter une protection à un processus arbitraire. Cela peut être particulièrement puissant si lsass est protégé par RunAsPPL car le contournement de PPL pourrait permettre à l’attaquant de vider les informations d’identification autrement inaccessibles. »
Lazarus a exploité la faille pour établir une primitive de lecture/écriture du noyau, permettant à une version de rootkit FudModule mise à jour d’effectuer une manipulation directe des objets du noyau.
Cette nouvelle version de FudModule est livrée avec des améliorations significatives de la furtivité et des fonctionnalités, y compris des techniques de rootkit nouvelles et mises à jour pour échapper à la détection et désactiver AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon et les protections de sécurité HitmanPro.
En analysant les attaques, Avast a également découvert un cheval de Troie d’accès à distance (RAT) précédemment inconnu utilisé par Lazarus, qui fera l’objet d’une présentation de BlackHat Asia en avril.
« Avec leur zero-day admin-to-kernel maintenant brûlé, Lazarus est confronté à un défi de taille. Ils peuvent soit découvrir un nouvel exploit zero-day, soit revenir à leurs anciennes techniques BYOVD », a déclaré Avast.
Il est conseillé aux utilisateurs de Windows d’installer les mises à jour du Patch Tuesday de février 2024 dès que possible pour bloquer les attaques CVE-2024-21338 de Lazarus.