Nhóm tin tặc khét tiếng Lazarus Group đã khai thác lỗ hổng leo thang đặc quyền mới được vá gần đây trong Windows Kernel dưới dạng zero-day để có được quyền truy cập mức kernel và vô hiệu hóa phần mềm bảo mật trên các máy chủ bị xâm nhập.
Lỗ hổng được đề cập có định danh CVE-2024-21338 (điểm CVSS: 7,8), có thể cho phép kẻ tấn công giành được quyền SYSTEM. Nó đã được Microsoft giải quyết trong bản cập nhật Patch Tuesday tháng trước.
Microsoft cho biết: “Để khai thác lỗ hổng này, kẻ tấn công phải đăng nhập vào hệ thống. Sau đó, kẻ tấn công có thể khởi chạy một ứng dụng độc hại để khai thác lỗ hổng và chiếm quyền kiểm soát hệ thống bị ảnh hưởng.”
Mặc dù không có dấu hiệu nào về việc khai thác CVE-2024-21338 trong thực tế tại thời điểm phát hành bản cập nhật, thứ Tư vừa qua, Redmond đã cập nhật thông tin “Đánh giá khả năng khai thác” đối với lỗ hổng thành “Đã phát hiện khai thác”.
Hiện vẫn chưa rõ thời điểm các cuộc tấn công diễn ra, nhưng lỗ hổng được cho là đã xuất hiện trong Window 10, phiên bản 1703 (RS2/15063) khi trình xử lý 0x22A018 IOCTL (input/output control) lần đầu tiên được triển khai.
Nhà cung cấp bảo mật Avast, đơn vị đã phát hiện việc lỗ hổng bị khai thác trong thực tế, cho biết quyền đọc/ghi kernel đạt được bằng cách khai thác lỗ hổng đã cho phép Nhóm Lazarus "thao túng trực tiếp kernel object trong phiên bản cập nhật của rootkit FudModule."
Rootkit FudModule, lần đầu được ESET và AhnLab báo cáo vào tháng 10 năm 2022, có khả năng vô hiệu hóa tính năng giám sát của tất cả các giải pháp bảo mật trên các máy chủ bị nhiễm bằng phương thức tấn công có tên Bring Your Own Vulnerable Driver (BYOVD), trong đó kẻ tấn công triển khai một driver dễ bị tấn công bởi một lỗ hổng đã biết hoặc lỗ hổng zero-day để leo thang đặc quyền.
Điều khiến cuộc tấn công trở nên nghiệm trọng là nó “vượt xa BYOVD bằng cách khai thác lỗ hổng zero-day trong driver đã được cài đặt sẵn trên máy mục tiêu”. Driver đã bị khai thác là appid.sys, có vai trò quan trọng đối với hoạt động của một thành phần chịu trách nhiệm kiểm soát ứng dụng trong Windows có tên AppLocker.
Việc khai thác của Nhóm Lazarus đòi hỏi phải sử dụng CVE-2024-21338 trong driver appid.sys để thực thi mã tùy ý để vượt qua mọi kiểm tra bảo mật và khởi chạy rootkit FudModule.
Bên cạnh việc thực hiện các bước để tránh bị phát hiện bằng cách vô hiệu hóa ứng dụng ghi log hệ thống, FudModule còn được thiết kế để tắt các phần mềm bảo mật cụ thể như AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro và Microsoft Defender Antivirus (trước đây là Windows Defender).
Sự phát triển này cho thấy mức độ tinh vi và phức tạp của các kỹ thuật mới mà tin tặc sử dụng, liên tục phát triển kho vũ khí để cải thiện khả năng tàng hình và chức năng, để cản trở việc phát hiện và gây khó khăn trong việc theo dõi chúng.
Để giảm thiểu các nguy cơ bị tấn công, người dùng nên thường xuyên kiểm tra và cập nhật đầy đủ bản vá cho các phần mềm, ứng dụng đang sử dụng sớm nhất có thể.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong một plugin WordPress phổ biến có tên Ultimate Member, với hơn 200.000 lượt cài đặt đang hoạt động.
Tín nhiệm mạng | Các tác nhân đe dọa đang khai thác một trình soạn thảo CMS đã ngừng hoạt động cách đây 14 năm để xâm phạm các tổ chức giáo dục và chính phủ trên toàn thế giới nhằm đầu độc kết quả tìm kiếm với các trang web độc hại, lừa đảo.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đang cảnh báo về sự gia tăng đột biến của các chiến dịch lừa đảo qua email đang lạm dụng dịch vụ Google Cloud Run để phát tán các trojan ngân hàng .
Tín nhiệm mạng | Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được tiết lộ.
Tín nhiệm mạng | Hai đối tượng người Trung Quốc phải đối mặt với án tù 20 năm sau khi bị bắt và bị kết tội gửi hơn 5.000 chiếc iPhone giả trị giá hơn 3 triệu USD cho Apple với mục đích thay thế chúng bằng thiết bị chính hãng
Tín nhiệm mạng | Tác nhân đe dọa đang sử dụng công cụ network mapping nguồn mở có tên SSH-Snake để tìm kiếm các khóa bí mật mà không bị phát hiện và mở rộng phạm vi xâm nhập trên cơ sở hạ tầng của nạn nhân.