No mês passado, a Microsoft lançou patches para a vulnerabilidade CVE-2024-21338, que permitia o escalonamento de privilégios do usuário no Windows. Vale ressaltar que o problema se tornou conhecido há cerca de seis meses e, segundo a Avast, nos últimos meses essa vulnerabilidade tem sido ativamente utilizada por hackers norte-coreanos do grupo Lazarus.
Fonte da imagem: Pete Linforth / pixabay.com
A vulnerabilidade mencionada foi identificada por especialistas da Avast no driver appid.sys do utilitário AppLocker. A exploração do bug permite que invasores com acesso ao sistema atacado aumentem o nível de direitos para o nível SISTEMA sem interagir com a vítima. O problema afeta dispositivos que executam Windows 11 e Windows 10, bem como Windows Server 2022 e Windows Server 2019.
A Avast disse em comunicado que para explorar a vulnerabilidade CVE-2024-21338, um invasor deve fazer login no sistema e, em seguida, iniciar um aplicativo especialmente configurado que explora a vulnerabilidade para assumir o controle do dispositivo. Embora um patch para corrigir a vulnerabilidade tenha sido lançado em meados do mês passado, a Microsoft só atualizou sua página de suporte há alguns dias para confirmar que a vulnerabilidade CVE-2024-21338 foi explorada por hackers.
Segundo a Avast, o grupo Lazarus vem explorando o bug desde pelo menos agosto do ano passado. Os invasores usaram a vulnerabilidade para obter privilégios no nível do kernel e desabilitar mecanismos de segurança nos sistemas atacados. No final das contas, eles conseguiram injetar secretamente o rootkit FudModule nos sistemas atacados para realizar várias manipulações com objetos do kernel.