Pesquisadores de segurança cibernética descobriram que o grupo de hackers Lazarus, que se acredita estar ligado ao governo norte-coreano, usou uma vulnerabilidade de dia zero no Windows para instalar um sofisticado rootkit FudModule. A vulnerabilidade permite que você obtenha direitos máximos no sistema.
Fonte da imagem: anônimo_Pete-Linforth/Pixabay
Conforme relatado pela Ars Technica com referência a representantes da empresa Gen, a vulnerabilidade, que recebeu o identificador CVE-2024-38193, pertence à classe “use after free” e está localizada no driver AFD.sys, que é usado para funciona com o protocolo Winsock e serve como ponto de entrada no kernel do sistema operacional. A Microsoft alertou que esta vulnerabilidade pode ser usada por invasores para obter privilégios de sistema que lhes permitam executar código não verificado.
«A vulnerabilidade permitiu que os invasores contornassem os mecanismos de segurança padrão e obtivessem acesso a áreas sensíveis do sistema que são inacessíveis à maioria dos usuários e até mesmo aos administradores, afirma o relatório do Gen. “Este tipo de ataque é complexo e consome muitos recursos, e seu custo no mercado negro pode chegar a várias centenas de milhares de dólares.” Lembre-se de que o rootkit FudModule foi descoberto pela primeira vez em 2022. É capaz de ocultar sua presença maliciosa no sistema, contornando antivírus e outras medidas de segurança.
Anteriormente, os hackers do Lazarus usavam a técnica “Traga seu próprio driver vulnerável” para instalar versões anteriores do FudModule. Porém, desta vez eles se aproveitaram de um bug no driver do sistema appid.sys, que estava presente por padrão em todas as versões do Windows até hoje.
Gen não revelou detalhes sobre há quanto tempo os hackers exploram a vulnerabilidade CVE-2024-38193, quantas organizações foram afetadas pelos ataques ou se os programas antivírus foram capazes de detectar a versão mais recente do FudModule.