Tin tặc khai thác lỗ hổng Windows Kernel dưới dạng zero-day trong thực tế

0
0

- Nhóm tin tặc khét tiếng Lazarus Group đã khai thác lỗ hổng leo thang đặc quyền mới được vá gần đây trong Windows Kernel dưới dạng zero-day để có được quyền truy cập mức kernel và vô hiệu hóa phần mềm bảo mật trên các máy chủ bị xâm nhập.

Lỗ hổng được đề cập có định danh CVE-2024-21338 (điểm CVSS: 7,8), có thể cho phép kẻ tấn công giành được quyền SYSTEM. Nó đã được Microsoft giải quyết trong bản cập nhật Patch Tuesday tháng trước.

Microsoft cho biết: “Để khai thác lỗ hổng này, kẻ tấn công phải đăng nhập vào hệ thống. Sau đó, kẻ tấn công có thể khởi chạy một ứng dụng độc hại để khai thác lỗ hổng và chiếm quyền kiểm soát hệ thống bị ảnh hưởng”.

Mặc dù không có dấu hiệu nào về việc khai thác CVE-2024-21338 trong thực tế tại thời điểm phát hành bản cập nhật, thứ Tư vừa qua, Redmond đã cập nhật thông tin “Đánh giá khả năng khai thác” đối với lỗ hổng thành “Đã phát hiện khai thác”.

Hiện vẫn chưa rõ thời điểm các cuộc tấn công diễn ra, nhưng lỗ hổng được cho là đã xuất hiện trong Window 10, phiên bản 1703 (RS2/15063) khi trình xử lý 0x22A018 IOCTL (input/output control) lần đầu tiên được triển khai.

Nhà cung cấp bảo mật Avast, đơn vị đã phát hiện việc lỗ hổng bị khai thác trong thực tế, cho biết quyền đọc/ghi kernel đạt được bằng cách khai thác lỗ hổng đã cho phép Nhóm Lazarus "thao túng trực tiếp kernel object trong phiên bản cập nhật của rootkit FudModule”.

 

Rootkit FudModule, lần đầu được ESET và AhnLab báo cáo vào tháng 10 năm 2022, có khả năng vô hiệu hóa tính năng giám sát của tất cả các giải pháp bảo mật trên các máy chủ bị nhiễm bằng phương thức tấn công có tên Bring Your Own Vulnerable Driver (BYOVD), trong đó kẻ tấn công triển khai một driver dễ bị tấn công bởi một lỗ hổng đã biết hoặc lỗ hổng zero-day để leo thang đặc quyền.

Điều khiến cuộc tấn công trở nên nghiệm trọng là nó “vượt xa BYOVD bằng cách khai thác lỗ hổng zero-day trong driver đã được cài đặt sẵn trên máy mục tiêu”. Driver đã bị khai thác là appid.sys, có vai trò quan trọng đối với hoạt động của một thành phần chịu trách nhiệm kiểm soát ứng dụng trong Windows có tên AppLocker.

Việc khai thác của Nhóm Lazarus đòi hỏi phải sử dụng CVE-2024-21338 trong driver appid.sys để thực thi mã tùy ý để vượt qua mọi kiểm tra bảo mật và khởi chạy rootkit FudModule.

Bên cạnh việc thực hiện các bước để tránh bị phát hiện bằng cách vô hiệu hóa ứng dụng ghi log hệ thống, FudModule còn được thiết kế để tắt các phần mềm bảo mật cụ thể như AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro và Microsoft Defender Antivirus (trước đây là Windows Defender).

Sự phát triển này cho thấy mức độ tinh vi và phức tạp của các kỹ thuật mới mà tin tặc sử dụng, liên tục phát triển kho vũ khí để cải thiện khả năng tàng hình và chức năng, để cản trở việc phát hiện và gây khó khăn trong việc theo dõi chúng.

Để giảm thiểu các nguy cơ bị tấn công, người dùng nên thường xuyên kiểm tra và cập nhật đầy đủ bản vá cho các phần mềm, ứng dụng đang sử dụng sớm nhất có thể.

PV


Ý kiến bạn đọc


Giá vàng thế giới tiếp tục tăng cao, tiến gần mốc 2.400 USD/ounce

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (20/4) tại thị trường New York, giá vàng giao ngay đã tiếp tục tăng hơn 10 USD/ounce. Trong nước, giá vàng nhẫn tròn trơn cũng vượt mốc 77 triệu đồng/lượng.

Trực tiếp Bán kết FA Cup: Đại chiến Man City - Chelsea trên MyTV

(VnMedia) - Chính thức bị loại khỏi Champions League, Man City sẽ phải tập trung vào cuộc so tài rất được chờ đợi trước Chelsea tại Bán kết cúp FA. Trận cầu hấp dẫn giữa 2 đối thủ nhiều duyên nợ  sẽ được truyền hình MyTV trực tiếp gửi tới khán giả cuối tuần này.

Những gói cước 4G VinaPhone trả trước hấp dẫn không nên bỏ lỡ

(VnMedia) - Với gói cước 4G của VinaPhone, bạn sẽ thỏa sức lướt web, gọi điện nội mạng và ngoại mạng mà không lo về giá cả. Đặc biệt, chi phí rất hợp lý và phù hợp với mọi đối tượng.

Giá vàng lại đảo chiều tăng cao 

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (19/4) tại thị trường New York, giá vàng giao ngay đã bật tăng hơn 12 USD/ounce sau phiên giảm sâu trước đó. Trong nước, giá vàng nhẫn tròn trơn vẫn đang duy trì ở dưới mức 77 triệu đồng/lượng.

Đẩy mạnh chuyển đổi số, hạn chế tiếp xúc giữa người dân, doanh nghiệp với hải quan

(VnMedia) - Thủ tướng Chính phủ Phạm Minh Chính vừa ký văn bản yêu cầu các bộ ngành, địa phương tiếp tục đẩy mạnh, nâng cao hơn nữa hiệu quả công tác chuyển đổi số trong lĩnh vực hải quan.