-
09/04/2020
-
93
-
618 bài viết
Đã có PoC cho lỗ hổng zero-day cho phép leo thang đặc quyền trong kernel Windows
Các chi tiết kỹ thuật và mã khai thác (PoC) cho lỗ hổng zero-day CVE-2024-21338, điểm CVSS 7,8 đã được công bố. Lỗ hổng này tồn tại trong kernel Windows, cho phép kẻ tấn công giành quyền kiểm soát sâu ở cấp hệ thống và vô hiệu hóa các giải pháp an ninh.
Nhóm tin tặc Lazarus có liên quan đến nhà nước Triều Tiên đã khai thác lỗ hổng này để có quyền đọc/ghi kernel bằng cách thao túng trực tiếp kernel object trong phiên bản cập nhật của rootkit FudModule, một phần mềm độc hại đã sử dụng trình điều khiển Dell trong các cuộc tấn công BYOVD (Bring Your Own Vulnerable Driver) trước đây.
Hình thức tấn công mới này cho phép tin tặc vô hiệu hóa các giải pháp bảo mật như Microsoft Defender và CrowdStrike Falcon, từ đó thực hiện các hoạt động độc hại tiếp theo mà không bị phát hiện.
Phiên bản mới của rootkit FudModule bao gồm khả năng tạm ngừng các tiến trình được bảo vệ bởi công nghệ Protected Process Light (PPL) bằng cách thao tác các mục trong bảng quản lý handle. Nó cũng có chiến lược phá hoại chọn lọc thông qua DKOM và phương pháp can thiệp vào cơ chế Driver Signature Enforcement cũng như Secure Boot.
Mã khai thác PoC cho lỗ hổng CVE-2024-21338 vào tháng trước. Rafael Felix của Hakai Security kể từ đó đã công bố các chi tiết kỹ thuật và bằng chứng khái niệm cho lỗ hổng này.
Các tổ chức và người dùng cá nhân được khuyến cáo cập nhật ngay bản vá trong Patch Tuesday tháng 2 năm 2024 để ngăn chặn rủi ro an ninh mạng.
Nhóm tin tặc Lazarus có liên quan đến nhà nước Triều Tiên đã khai thác lỗ hổng này để có quyền đọc/ghi kernel bằng cách thao túng trực tiếp kernel object trong phiên bản cập nhật của rootkit FudModule, một phần mềm độc hại đã sử dụng trình điều khiển Dell trong các cuộc tấn công BYOVD (Bring Your Own Vulnerable Driver) trước đây.
Hình thức tấn công mới này cho phép tin tặc vô hiệu hóa các giải pháp bảo mật như Microsoft Defender và CrowdStrike Falcon, từ đó thực hiện các hoạt động độc hại tiếp theo mà không bị phát hiện.
Phiên bản mới của rootkit FudModule bao gồm khả năng tạm ngừng các tiến trình được bảo vệ bởi công nghệ Protected Process Light (PPL) bằng cách thao tác các mục trong bảng quản lý handle. Nó cũng có chiến lược phá hoại chọn lọc thông qua DKOM và phương pháp can thiệp vào cơ chế Driver Signature Enforcement cũng như Secure Boot.
Mã khai thác PoC cho lỗ hổng CVE-2024-21338 vào tháng trước. Rafael Felix của Hakai Security kể từ đó đã công bố các chi tiết kỹ thuật và bằng chứng khái niệm cho lỗ hổng này.
Các tổ chức và người dùng cá nhân được khuyến cáo cập nhật ngay bản vá trong Patch Tuesday tháng 2 năm 2024 để ngăn chặn rủi ro an ninh mạng.
Theo Security Online