Windows 這個零日漏洞正在被黑客利用，以獲取內核權限

研究人員近期發現，Lazarus 黑客組織正在試圖利用 Windows AppLocker 驅動程序 appid.sys 中的零日漏洞 CVE-2024-21338，獲得內核級訪問權限并關閉安全工具，從而能夠輕松繞過 BYOVD（自帶漏洞驅動程序）技術。

Avast 網絡安全分析師發現了這一網絡攻擊活動，隨后便立刻向微軟方面上報。微軟在 2024 年 2 月發布的安全更新中解決安全漏洞的問題。不過，微軟并未將 CVE-2024-21338 安全漏洞標記為零日漏洞。

Lazarus 黑客組織利用 CVE-2024-21338 安全漏洞在其 FudModule rootkit 的更新版本中創建了一個讀/寫內核基元（ESET 于 2022 年底首次記錄了 CVE-2024-21338 漏洞。此前，rootkit 曾濫用戴爾驅動程序進行了 BYOVD 攻擊）

新版 FudModule 在隱蔽性和功能性方面有了顯著增強，包括但不限于采用了新技術逃避檢測和關閉 Microsoft Defender 和 CrowdStrike Falcon 等安全保護。此外，通過檢索大部分攻擊鏈，Avast 還發現了 Lazarus 黑客組織使用了一種此前從未記錄的遠程訪問木馬 (RAT)。Avast 承諾將在 4 月份的 BlackHat Asia 上分享有關該木馬的更多細節。

Lazarus 黑客組織對 0 Day 漏洞利用詳情

Lazarus 黑客組織利用了微軟 "appid.sys "驅動程序中的一個漏洞，該驅動程序是 Windows AppLocker 組件，主要提供應用程序白名單功能。

Lazarus 團隊成員通過操縱 appid.sys 驅動程序中的輸入和輸出控制（IOCTL）調度程序來調用任意指針，誘使內核執行不安全代碼，從而繞過安全檢查。

漏洞利用中使用的直接系統調用（Avast）

FudModule rootkit 與漏洞利用程序構建在同一模塊內，執行直接內核對象 DKOM 操作，以關閉安全產品、隱藏惡意活動并維持被入侵系統的持久性。（安全產品包括 AhnLab V3 Endpoint Security、Windows Defender、CrowdStrike Falcon 等以及 HitmanPro 反惡意軟件解決方案）

Avast 在新版 rootkit 中發現了新的隱身特性和擴展功能，例如通過 DKOM 進行選擇性和有針對性的破壞、增強篡改驅動程序簽名執行和安全啟動功能等。Avast 還指出，這種新的安全漏洞利用策略標志著威脅攻擊者內核訪問能力有了重大突破，使其能夠發起更隱蔽的網絡攻擊，并在被入侵網絡系統上持續更長時間。

最后，安全人員指出，針對 CVE-2024-21338 安全漏洞唯一有效的安全措施就是盡快應用 2024 年 2 月的 發布的安全更新。

參考文章：

https://www.bleepingcomputer.com/news/security/lazarus-hackers-exploited-windows-zero-day-to-gain-kernel-privileges/