Tin tặc khai thác lỗ hổng Windows Kernel dưới dạng zero-day trong thực tế

0
0

- Nhóm tin tặc khét tiếng Lazarus Group đã khai thác lỗ hổng leo thang đặc quyền mới được vá gần đây trong Windows Kernel dưới dạng zero-day để có được quyền truy cập mức kernel và vô hiệu hóa phần mềm bảo mật trên các máy chủ bị xâm nhập.

Lỗ hổng được đề cập có định danh CVE-2024-21338 (điểm CVSS: 7,8), có thể cho phép kẻ tấn công giành được quyền SYSTEM. Nó đã được Microsoft giải quyết trong bản cập nhật Patch Tuesday tháng trước.

Microsoft cho biết: “Để khai thác lỗ hổng này, kẻ tấn công phải đăng nhập vào hệ thống. Sau đó, kẻ tấn công có thể khởi chạy một ứng dụng độc hại để khai thác lỗ hổng và chiếm quyền kiểm soát hệ thống bị ảnh hưởng”.

Mặc dù không có dấu hiệu nào về việc khai thác CVE-2024-21338 trong thực tế tại thời điểm phát hành bản cập nhật, thứ Tư vừa qua, Redmond đã cập nhật thông tin “Đánh giá khả năng khai thác” đối với lỗ hổng thành “Đã phát hiện khai thác”.

Hiện vẫn chưa rõ thời điểm các cuộc tấn công diễn ra, nhưng lỗ hổng được cho là đã xuất hiện trong Window 10, phiên bản 1703 (RS2/15063) khi trình xử lý 0x22A018 IOCTL (input/output control) lần đầu tiên được triển khai.

Nhà cung cấp bảo mật Avast, đơn vị đã phát hiện việc lỗ hổng bị khai thác trong thực tế, cho biết quyền đọc/ghi kernel đạt được bằng cách khai thác lỗ hổng đã cho phép Nhóm Lazarus "thao túng trực tiếp kernel object trong phiên bản cập nhật của rootkit FudModule”.

 

Rootkit FudModule, lần đầu được ESET và AhnLab báo cáo vào tháng 10 năm 2022, có khả năng vô hiệu hóa tính năng giám sát của tất cả các giải pháp bảo mật trên các máy chủ bị nhiễm bằng phương thức tấn công có tên Bring Your Own Vulnerable Driver (BYOVD), trong đó kẻ tấn công triển khai một driver dễ bị tấn công bởi một lỗ hổng đã biết hoặc lỗ hổng zero-day để leo thang đặc quyền.

Điều khiến cuộc tấn công trở nên nghiệm trọng là nó “vượt xa BYOVD bằng cách khai thác lỗ hổng zero-day trong driver đã được cài đặt sẵn trên máy mục tiêu”. Driver đã bị khai thác là appid.sys, có vai trò quan trọng đối với hoạt động của một thành phần chịu trách nhiệm kiểm soát ứng dụng trong Windows có tên AppLocker.

Việc khai thác của Nhóm Lazarus đòi hỏi phải sử dụng CVE-2024-21338 trong driver appid.sys để thực thi mã tùy ý để vượt qua mọi kiểm tra bảo mật và khởi chạy rootkit FudModule.

Bên cạnh việc thực hiện các bước để tránh bị phát hiện bằng cách vô hiệu hóa ứng dụng ghi log hệ thống, FudModule còn được thiết kế để tắt các phần mềm bảo mật cụ thể như AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro và Microsoft Defender Antivirus (trước đây là Windows Defender).

Sự phát triển này cho thấy mức độ tinh vi và phức tạp của các kỹ thuật mới mà tin tặc sử dụng, liên tục phát triển kho vũ khí để cải thiện khả năng tàng hình và chức năng, để cản trở việc phát hiện và gây khó khăn trong việc theo dõi chúng.

Để giảm thiểu các nguy cơ bị tấn công, người dùng nên thường xuyên kiểm tra và cập nhật đầy đủ bản vá cho các phần mềm, ứng dụng đang sử dụng sớm nhất có thể.

PV


Ý kiến bạn đọc


Sao Khuê 2024: Thúc đẩy nghiên cứu, phát triển và ứng dụng mạnh mẽ AI!

(VnMedia) - Giải thưởng Sao Khuê 2024 có 08 nền tảng, giải pháp AI chuyên biệt, nhưng theo thống kê, có đến hơn 90% các sản phẩm, dịch vụ đã được tích hợp các ứng dụng AI để hỗ trợ các doanh nghiệp, tổ chức, người dân...

Vạch trần thủ đoạn lừa đảo thông qua dụ dỗ, kêu gọi đầu tư tài chính

(VnMedia) - Thủ đoạn chung là các đối tượng lừa đảo thường tìm hiểu và tiếp cận mục tiêu thông qua các kênh mạng xã hội, trang web hẹn hò hoặc diễn đàn...

Cuối tuần, giá vàng đảo chiều giảm mạnh

(VnMedia) - Tính đến thời điểm trưa nay (13/4), giá vàng miếng SJC đã được các doanh nghiệp điều chỉnh giảm khoảng 700 nghìn đồng/lượng do chịu ảnh hưởng trực tiếp từ đà đi xuống của thế giới.

Cảnh giác khi nhận cuộc gọi từ người lạ, tự xưng là cán bộ các cơ quan tư pháp

(VnMedia) - Cơ quan Công an khuyến cáo, các tổ chức, cá nhân, doanh nghiệp cần đề cao cảnh giác khi nhận các cuộc gọi điện thoại từ người lạ, tự xưng là cán bộ các cơ quan nhà nước và các cơ quan tư pháp...

Tuyển sinh 2024: Thí sinh thử đăng ký dự thi trực tuyến từ 24-28/4

(VnMedia)- Từ 24/4 đến 28/4, Bộ Giáo dục và Đào tạo (GD&ĐT) sẽ tổ chức cho thí sinh là học sinh lớp 12 thử đăng ký dự thi trực tuyến trên Hệ thống quản lý thi. Thí sinh sẽ đăng ký dự thi chính thức từ 2/5 đến 17h ngày 10/5.