Lazarus 黑客利用 Windows 零日漏洞获取内核权限

安全研究人员发布了危险的零日CVE-2024-21338 漏洞的技术细节和概念验证 (PoC) 漏洞代码，该漏洞最近被国家支持的朝鲜黑客组织 Lazarus 所利用。该缺陷存在于 Windows 内核本身中，允许攻击者获得深层系统级控制并禁用安全工具。

Lazarus 组织利用此漏洞通过 FudModule rootkit 的更新版本创建读/写内核原语，FudModule rootkit 是一种恶意软件，之前因使用戴尔驱动程序进行自带漏洞驱动程序 (BYOVD) 攻击而闻名。这种新的利用方法使他们能够绕过更可检测的 BYOVD 技术，从而实现内核级访问。此访问权限用于禁用安全工具，包括 Microsoft Defender 和 CrowdStrike Falcon 等知名工具，从而在不被发现的情况下促进进一步的恶意活动。

Avast 的分析表明，新版本 FudModule 的隐秘性和功能性显着增强。Rootkit 现在包含通过操作句柄表条目来暂停受 Protected Process Light (PPL) 保护的进程的功能。它还具有通过 DKOM 的选择性中断策略，并改进了篡改驱动程序签名强制和安全启动机制的方法。

根据 Avast 的初步分析，研究人员 Nero22k上个月发布了针对 Windows 内核漏洞 (CVE-2024-21338) 的 PoC 漏洞利用代码。Hakai Security 的 Rafael Felix 此后发布了该缺陷的技术细节和概念验证。

该漏洞涉及操纵驱动程序中的输入和输出控制（IOCTL）调度程序appid.sys来调用任意指针。此操作会欺骗内核执行不安全的代码，从而有效地绕过内置安全检查。在此漏洞的范围内，FudModule rootkit 会执行直接内核对象操作 (DKOM)，以禁用安全产品、隐藏其活动并确保其在受感染系统上的持久性。

对于组织和个人用户来说，针对此漏洞的直接且最有效的防御方法是应用 Microsoft 在 2024 年 2 月补丁星期二中发布的更新。确保系统及时更新这些补丁至关重要，因为它可以关闭漏洞窗口并防止相同性质的潜在攻击。

文章参考：

• https://decoded.avast.io/janvojtesek/lazarus-and-the-fudmodule-rootkit-beyond-byovd-with-an-admin-to-kernel-zero-day/

• https://securityonline.info/poc-exploit-released-for-0-day-windows-kernel-elevation-of-privilege-vulnerability-cve-2024-21338/

• https://github.com/hakaioffsec/CVE-2024-21338

• https://hakaisecurity.io/cve-2024-21338-from-admin-to-kernel-through-token-manipulation-and-windows-kernel-exploitation/research-blog/