Imágenes Getty
Una vulnerabilidad de día cero de Windows recientemente parcheada por Microsoft fue explotada por piratas informáticos que trabajan en nombre del gobierno de Corea del Norte para poder instalar malware personalizado que es excepcionalmente sigiloso y avanzado, informaron investigadores el lunes.
La vulnerabilidad, rastreada como CVE-2024-38193fue una de las seis vulnerabilidades de día cero (es decir, vulnerabilidades conocidas o explotadas activamente antes de que el proveedor tenga un parche) corregidas en la actualización mensual publicada el martes pasado por Microsoft. Microsoft dijo que la vulnerabilidad (en una clase conocida como “use after free”) se encontraba en AFD.sys, el archivo binario para lo que se conoce como el controlador de función auxiliar y el punto de entrada del kernel para la API Winsock. Microsoft advirtió que la vulnerabilidad de día cero podría ser explotada para dar a los atacantes privilegios de sistema, los derechos de sistema máximos disponibles en Windows y un estado requerido para ejecutar código no confiable.
Lazarus obtiene acceso al kernel de Windows
Microsoft advirtió en ese momento que la vulnerabilidad estaba siendo explotada activamente, pero no proporcionó detalles sobre quién estaba detrás de los ataques o cuál era su objetivo final. El lunes, los investigadores de Gen, la empresa de seguridad que descubrió los ataques y los informó de forma privada a Microsoft, dijeron que los actores de la amenaza eran parte de Lazarus, el nombre que los investigadores usan para rastrear a un grupo de piratas informáticos respaldado por el gobierno de Corea del Norte.
“La vulnerabilidad permitió a los atacantes eludir las restricciones de seguridad normales y acceder a áreas sensibles del sistema a las que la mayoría de los usuarios y administradores no pueden acceder”, dijeron los investigadores de Gen. reportado“Este tipo de ataque es sofisticado y muy ingenioso, y puede llegar a costar cientos de miles de dólares en el mercado negro. Es preocupante porque se dirige a personas de sectores sensibles, como los que trabajan en ingeniería de criptomonedas o en el sector aeroespacial, para acceder a las redes de sus empleadores y robar criptomonedas para financiar las operaciones de los atacantes”.
La publicación del blog del lunes decía que Lazarus estaba usando el exploit para instalar FudModule, un sofisticado malware descubierto y analizado en 2022 por investigadores de dos empresas de seguridad independientes: Laboratorio Ahn y ESETFudModule, cuyo nombre deriva del archivo FudModule.dll que alguna vez estuvo presente en su tabla de exportación, es un tipo de malware conocido como rootkit. Se destacaba por su capacidad de operar de manera robusta en lo más profundo de Windows, un ámbito que no era ampliamente comprendido en ese entonces ni ahora. Esa capacidad le permitía a FudModule deshabilitar el monitoreo por parte de defensas de seguridad internas y externas.
Los rootkits son programas maliciosos que tienen la capacidad de ocultar sus archivos, procesos y otros elementos internos del sistema operativo y, al mismo tiempo, controlar los niveles más profundos del sistema operativo. Para funcionar, los rootkits primero deben obtener privilegios del sistema y luego interactuar directamente con el núcleo, el área de un sistema operativo reservada para las funciones más sensibles. Las variantes de FudModule descubiertas por AhnLabs y ESET se instalaron utilizando una técnica llamada “Traiga su propio conductor vulnerablelo que implica instalar un controlador legítimo con vulnerabilidades conocidas para obtener acceso al kernel.
A principios de este año, los investigadores de la empresa de seguridad Avast detectaron un Variante más nueva de FudModule que eludió las defensas clave de Windows, como Endpoint Detection and Response y Protected Process Light. Microsoft tardó seis meses en solucionar la vulnerabilidad después de que Avast informara de forma privada, un retraso que permitió a Lazarus seguir explotándola.
Mientras que Lazarus utilizó el método “traiga su propio controlador vulnerable” para instalar versiones anteriores de FudModule, los miembros del grupo instalaron la variante descubierta por Avast aprovechando un error en appid.sys, un controlador que habilita el servicio Windows AppLocker, que viene preinstalado en Windows. Los investigadores de Avast dijeron en ese momento que la vulnerabilidad de Windows explotada en esos ataques representaba un santo grial para los piratas informáticos porque estaba integrada directamente en el sistema operativo en lugar de tener que instalarse desde fuentes de terceros.
Gen, un conglomerado que comprende las marcas Norton, Norton Lifelock, Avast y Avira, entre otras, no proporcionó detalles críticos, como cuándo comenzó Lazarus a explotar CVE-2024-38193, cuántas organizaciones fueron el objetivo de los ataques y si la última variante de FudModule fue detectada por algún servicio de protección de endpoints. Tampoco hay indicadores de compromiso. Los representantes de la empresa no respondieron a los correos electrónicos.
