Des acteurs de la menace nord-coréens connus sous le nom de Groupe Lazarus ont exploité une faille dans le pilote Windows AppLocker (appid.sys) en tant que jour zéro pour obtenir un accès au niveau du noyau et désactiver les outils de sécurité, leur permettant de contourner les techniques bruyantes de BYOVD (Apportez votre propre pilote vulnérable).

Cette activité a été détectée par les analystes d’Avast, qui l’ont rapidement signalée à Microsoft, ce qui a conduit à un correctif de la faille, désormais suivi sous le nom de CVE-2024-21338, dans le cadre du Patch Tuesday de février 2024. Cependant, Microsoft n’a pas marqué la faille comme étant exploitée comme un jour zéro.

Avast rapporte que Lazarus a exploité CVE-2024 – 21338 pour créer une primitive de noyau en lecture/écriture dans une version mise à jour de son rootkit FudModule, qu’ESET a documenté pour la première fois fin 2022. Auparavant, le rootkit abusait d’un pilote Dell pour des attaques BYOVD.

La nouvelle version de FudModule présente des améliorations significatives en termes de furtivité et de fonctionnalités, y compris des techniques nouvelles et mises à jour pour échapper à la détection et désactiver les protections de sécurité telles que Microsoft Defender et CrowdStrike Falcon.

De plus, en récupérant la majeure partie de la chaîne d’attaque, Avast a découvert un cheval de Troie d’accès à distance (RAT) précédemment non documenté utilisé par Lazarus, sur lequel la société de sécurité a promis de partager plus de détails à BlackHat Asia en avril.

Lazarus exploitation 0 jour
Le malware a exploité une vulnérabilité dans l’appid de Microsoft.pilote sys, un composant AppLocker Windows qui fournit des fonctionnalités de liste blanche d’applications.

Lazarus l’exploite en manipulant le répartiteur de Contrôle d’entrée et de sortie (IOCTL) dans l’appid.pilote sys pour appeler un pointeur arbitraire, incitant le noyau à exécuter du code dangereux, contournant ainsi les contrôles de sécurité.

Appels système directs utilisés dans l’exploit

Le rootkit FudModule, construit dans le même module que l’exploit, exécute des opérations de manipulation directe d’objets du noyau (DKOM) pour désactiver les produits de sécurité, masquer les activités malveillantes et maintenir la persistance sur le système violé.

Les produits de sécurité ciblés sont AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon et la solution anti-malware HitmanPro.

Avast a observé de nouvelles fonctionnalités furtives et des capacités étendues dans la nouvelle version du rootkit, telles que la possibilité de suspecter des processus protégés par Protected Process Light (PPL) en manipulant les entrées de la table des descripteurs, une perturbation sélective et ciblée via DKOM, des améliorations dans la falsification de l’application de la signature du pilote et du démarrage sécurisé, etc.

Avast note que cette nouvelle tactique d’exploit marque une évolution significative des capacités d’accès au noyau de l’auteur de la menace, lui permettant de lancer des attaques plus furtives et de persister sur des systèmes compromis pendant de plus longues périodes.

Fonction principale des rootkits exécutant des techniques individuelles

La seule mesure de sécurité efficace consiste à appliquer les mises à jour du Patch Tuesday de février 2024 dès que possible, car l’exploitation par Lazarus d’un pilote intégré à Windows rend l’attaque particulièrement difficile à détecter et à arrêter.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *