Tin tặc khai thác lỗ hổng Windows Kernel dưới dạng zero-day trong thực tế

- Nhóm tin tặc khét tiếng Lazarus Group đã khai thác lỗ hổng leo thang đặc quyền mới được vá gần đây trong Windows Kernel dưới dạng zero-day để có được quyền truy cập mức kernel và vô hiệu hóa phần mềm bảo mật trên các máy chủ bị xâm nhập.

Lỗ hổng được đề cập có định danh CVE-2024-21338 (điểm CVSS: 7,8), có thể cho phép kẻ tấn công giành được quyền SYSTEM. Nó đã được Microsoft giải quyết trong bản cập nhật Patch Tuesday tháng trước.

Microsoft cho biết: “Để khai thác lỗ hổng này, kẻ tấn công phải đăng nhập vào hệ thống. Sau đó, kẻ tấn công có thể khởi chạy một ứng dụng độc hại để khai thác lỗ hổng và chiếm quyền kiểm soát hệ thống bị ảnh hưởng”.

Mặc dù không có dấu hiệu nào về việc khai thác CVE-2024-21338 trong thực tế tại thời điểm phát hành bản cập nhật, thứ Tư vừa qua, Redmond đã cập nhật thông tin “Đánh giá khả năng khai thác” đối với lỗ hổng thành “Đã phát hiện khai thác”.

Hiện vẫn chưa rõ thời điểm các cuộc tấn công diễn ra, nhưng lỗ hổng được cho là đã xuất hiện trong Window 10, phiên bản 1703 (RS2/15063) khi trình xử lý 0x22A018 IOCTL (input/output control) lần đầu tiên được triển khai.

Nhà cung cấp bảo mật Avast, đơn vị đã phát hiện việc lỗ hổng bị khai thác trong thực tế, cho biết quyền đọc/ghi kernel đạt được bằng cách khai thác lỗ hổng đã cho phép Nhóm Lazarus "thao túng trực tiếp kernel object trong phiên bản cập nhật của rootkit FudModule”.

Rootkit FudModule, lần đầu được ESET và AhnLab báo cáo vào tháng 10 năm 2022, có khả năng vô hiệu hóa tính năng giám sát của tất cả các giải pháp bảo mật trên các máy chủ bị nhiễm bằng phương thức tấn công có tên Bring Your Own Vulnerable Driver (BYOVD), trong đó kẻ tấn công triển khai một driver dễ bị tấn công bởi một lỗ hổng đã biết hoặc lỗ hổng zero-day để leo thang đặc quyền.

Điều khiến cuộc tấn công trở nên nghiệm trọng là nó “vượt xa BYOVD bằng cách khai thác lỗ hổng zero-day trong driver đã được cài đặt sẵn trên máy mục tiêu”. Driver đã bị khai thác là appid.sys, có vai trò quan trọng đối với hoạt động của một thành phần chịu trách nhiệm kiểm soát ứng dụng trong Windows có tên AppLocker.

Việc khai thác của Nhóm Lazarus đòi hỏi phải sử dụng CVE-2024-21338 trong driver appid.sys để thực thi mã tùy ý để vượt qua mọi kiểm tra bảo mật và khởi chạy rootkit FudModule.

Bên cạnh việc thực hiện các bước để tránh bị phát hiện bằng cách vô hiệu hóa ứng dụng ghi log hệ thống, FudModule còn được thiết kế để tắt các phần mềm bảo mật cụ thể như AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro và Microsoft Defender Antivirus (trước đây là Windows Defender).

Sự phát triển này cho thấy mức độ tinh vi và phức tạp của các kỹ thuật mới mà tin tặc sử dụng, liên tục phát triển kho vũ khí để cải thiện khả năng tàng hình và chức năng, để cản trở việc phát hiện và gây khó khăn trong việc theo dõi chúng.

Để giảm thiểu các nguy cơ bị tấn công, người dùng nên thường xuyên kiểm tra và cập nhật đầy đủ bản vá cho các phần mềm, ứng dụng đang sử dụng sớm nhất có thể.