LAZARUS APT利用Windows驱动程序的零日漏洞获取了内核特权

Avast研究人员观察到与朝鲜有关的Lazarus APT组织利用了appid.sys AppLocker驱动程序中的一个零日漏洞，使用管理员到内核的漏洞进行攻击。该零日漏洞被追踪为CVE-2024-21338，并已在微软2月份的“星期二更新”中得到解决。这些国家行为者利用了这个零日漏洞来获取内核级别访问权限并禁用安全软件。在过去的攻击中，威胁行为者通过使用更加明显的“BYOVD（Bring Your Own Vulnerable Driver）”技术跨越管理员到内核的边界来实现相同的目标。

Lazarus利用了漏洞CVE-2024-21338，在他们的FudModule rootkit的更新版本中执行直接内核对象操作。根据Avast发布的分析，“管理员到内核的圣杯是通过利用已知已安装在目标机器上的驱动程序的零日漏洞，超越BYOVD。为了使攻击尽可能普遍，最明显的目标应该是一个内置的Windows驱动程序，已经是操作系统的一部分。在这样的驱动程序中发现可利用的漏洞比以前的BYOVD情景要困难得多，原因有两点。

首先，可能的目标驱动程序数量大大减少，从而减少了攻击面。其次，内置驱动程序的代码质量可以说比随机第三方驱动程序更高，这使得漏洞更难以发现。这个rootkit的新版本可以暂停与Microsoft Defender、CrowdStrike Falcon和HitmanPro相关的PPL（Protected Process Light）受保护进程。

漏洞CVE-2024-21338存在于驱动程序appid.sys的IOCTL（输入输出控制）分发程序中。这个驱动程序是AppLocker应用程序的核心组件，用于控制用户可以运行哪些应用程序和文件。 

Lazarus通过操纵appid.sys驱动程序中的输入输出控制（IOCTL）分发程序来利用这个零日漏洞。这种操纵允许他们在目标系统上执行任意代码，绕过安全措施。

报告中指出：“管理员到内核漏洞的整个目标是破坏当前线程的PreviousMode。这允许使用强大的内核读/写原语，受影响的用户模式线程可以使用Nt(Read|Write)VirtualMemory系统调用读写任意内核存储器。借助这种原语，FudModule rootkit采用直接内核对象操作（DKOM）技术来破坏各种内核安全机制。值得再次强调的是，FudModule是一个仅限数据的rootkit，这意味着它完全在用户空间执行，所有内核篡改都是通过读写原语完成的。” 

随着Lazarus的宝贵的管理员到内核零日漏洞曝光，他们绕过安全性的能力受到了显著阻碍。他们现在必须在找到新的关键漏洞或回归到旧的、不那么强大的BYOVD策略之间做出选择。研究人员注意到，随着Lazarus的宝贵的管理员到内核零日曝光，他们绕过安全的能力受到了显著阻碍。他们现在必须在找到新的关键漏洞或回归到旧的、不那么强大的BYOVD策略之间做出选择。研究人员发布了最新版本FudModule rootkit的威胁指标（IoCs）和YARA规则。

原文始发于微信公众号（黑猫安全）：LAZARUS APT利用Windows驱动程序的零日漏洞获取了内核特权