Los piratas informáticos respaldados por el gobierno de Corea del Norte obtuvieron una gran victoria cuando Microsoft dejó un sistema Windows de día cero sin parchear durante seis meses después de enterarse de que estaba bajo explotación activa.
Incluso después de que Microsoft parchó la vulnerabilidad el mes pasado, la compañía no mencionó que el grupo de amenazas norcoreano Lazarus había estado usando la vulnerabilidad desde al menos agosto para instalar un rootkit sigiloso en computadoras vulnerables. La vulnerabilidad proporcionó un medio fácil y sigiloso para que el malware que ya había obtenido derechos administrativos del sistema interactuara con el kernel de Windows. Lázaro usó la vulnerabilidad precisamente para eso. Aun así, Microsoft ha dicho durante mucho tiempo que tales elevaciones del administrador al kernel no representan el cruce de un límite de seguridad, una posible explicación del tiempo que tomó Microsoft para solucionar la vulnerabilidad.
Un rootkit “santo grial”
“Cuando se trata de seguridad de Windows, existe una delgada línea entre el administrador y el kernel”, Jan Vojtěšek, investigador de la empresa de seguridad Avast. explicado la semana pasada. “Microsoft criterios de servicio de seguridad
La política de Microsoft resultó ser de gran ayuda para Lazarus al instalar “FudModule”, un rootkit personalizado que, según Avast, era excepcionalmente sigiloso y avanzado. Los rootkits son piezas de malware que tienen la capacidad de ocultar sus archivos, procesos y otros mecanismos internos del propio sistema operativo y al mismo tiempo controlar los niveles más profundos del sistema operativo. Para funcionar, primero deben obtener privilegios administrativos, un logro importante para cualquier malware que infecte un sistema operativo moderno. Luego, deben superar otro obstáculo más: interactuar directamente con el núcleo, el nicho más interno de un sistema operativo reservado para las funciones más sensibles.
En años pasados, Lazarus y otros grupos de amenazas alcanzaron este último umbral principalmente explotando controladores de sistemas de terceros, que por definición ya tienen acceso al kernel. Para funcionar con versiones compatibles de Windows, los controladores de terceros primero deben estar firmados digitalmente por Microsoft para certificar que son confiables y cumplen con los requisitos de seguridad. En caso de que Lazarus u otro actor de amenazas ya haya superado el obstáculo administrativo y haya identificado una vulnerabilidad en un controlador aprobado, pueden instalarlo y explotar la vulnerabilidad para obtener acceso al kernel de Windows. Sin embargo, esta técnica, conocida como BYOVD (traiga su propio controlador vulnerable), tiene un costo porque brinda amplias oportunidades para que los defensores detecten un ataque en progreso.
La vulnerabilidad que aprovechó Lazarus, rastreada como CVE-2024-21338, ofrecía considerablemente más sigilo que BYOVD porque explotaba appid.sys, un controlador que habilita el servicio Windows AppLocker, que viene preinstalado en el sistema operativo Microsoft. Avast dijo que tales vulnerabilidades representan el “santo grial”, en comparación con BYOVD.
En agosto, los investigadores de Avast enviaron a Microsoft una descripción del día cero, junto con un código de prueba de concepto que demostraba lo que hacía cuando era explotado. Microsoft no parchó la vulnerabilidad hasta el mes pasado. Incluso entonces, la divulgación de la explotación activa de CVE-2024-21338 y los detalles del rootkit Lazarus no provino de Microsoft en febrero sino de Avast 15 días después. Un día después, Microsoft actualizó su boletín de parches para señalar la explotación.