ClickCease Lazarus-Hackergruppe nutzt Windows-Kernel-Fehler aktiv aus

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Lazarus-Hackergruppe nutzt Windows-Kernel-Fehler aktiv aus

Wajahat Raja

11. März 2024. TuxCare-Expertenteam

Die Welt der Cybersicherheit ist in heller Aufregung über die Enthüllung der Lazarus Group, die eine kritische einer kritischen Sicherheitslücke im Windows-Kernel. Die Windows-Kernel-Schwachstelle(CVE-2024-21338) hat Besorgnis ausgelöst, da sie Angreifern Zugriff auf die Kernel-Ebene gewähren und Sicherheitssoftware deaktivieren kann, was eine erhebliche Gefahr für die Systemintegrität darstellt.

 

Ursprung und Entwicklung der Windows-Sicherheitslücken


Die Schwachstelle kann auf Windows 10 Version 1703 (RS2/15063) zurückgeführt werden, die aus der Implementierung des 0x22A018 IOCTL-Handlers resultiert. Die Entdeckung und Ausnutzung der Schwachstelle verdeutlicht die anhaltenden Herausforderungen, mit denen Softwareentwickler konfrontiert sind, wenn es darum geht, sich gegen die sich entwickelnden
Cybersicherheitsbedrohungen.

Der Cybersecurity-Anbieter Avast entdeckte ein "in-the-wild"-Admin-to-Kernel-Exploit für CVE-2024-21338 und schreibt es der Lazarus-Gruppe. Dieser Exploit ermöglichte es der Gruppe, ein Kernel-Lese-/Schreib-Primitiv zu erreichen, das die direkte Manipulation von Kernel-Objekten und die Bereitstellung des FudModule-Rootkits ermöglichte.

Die Lazarus-Hacker nutzten die Sicherheitslücke CVE-2024-21338, um appid.sys auszunutzen, einen wichtigen Treiber, der mit Windows AppLocker verbunden ist. Durch die Umgehung von Sicherheitsprüfungen führt die Gruppe beliebigen Code aus, umgeht effektiv die Erkennungsmechanismen und führt das FudModule-Rootkit ungestraft aus.

 

Windows Kernel Flaw Privilege Escalation


Die Lazarus Group, die für ihre ausgeklügelten Cyberoperationen bekannt ist, nutzte eine kürzlich gepatchte Schwachstelle im Windows-Kernel zur Ausweitung von Privilegien aus.
Zero-Day-Exploit. Diese Schwachstelle, CVE-2024-21338, hat einen CVSS-Wert von 7,8, was auf die Schwere und die potenziellen Auswirkungen auf die betroffenen Systeme hinweist.

Diese Sicherheitslücke, die mittlerweile in Cybersicherheitskreisen berüchtigt istermöglicht es Angreifern, SYSTEM-Rechte zu erlangen, indem sie eine Sicherheitslücke im Windows-Kernel ausnutzen. Microsoft hat diese Sicherheitslücke in seinen jüngsten Windows-Sicherheitsupdatesund unterstreicht damit die Dringlichkeit, Patches zeitnah zu installieren, um die Risiken zu minimieren.

Um die Sicherheitslücke CVE-2024-21338 auszunutzen, muss sich ein Angreifer zunächst Zugriff auf das Zielsystem verschaffen. Anschließend kann er eine speziell gestaltete Anwendung ausführen, die die Schwachstelle ausnutzt und so den Weg für einen unbefugten Zugriff und die Kontrolle über das angegriffene System ebnet.


Zugang auf Kernel-Ebene und erhöhte Risikobewertung

 

Wenn sie ausgenutzt wird, kann die Windows-Kernel-Schwachstelle gewährt Angreifern Zugriff auf die Kernel-Ebene, ein begehrtes Privileg, das es ihnen ermöglicht, Systemressourcen zu manipulieren und beliebigen Code auszuführen. Dieser erweiterte Zugriff erleichtert die Deaktivierung von Sicherheitssoftware und verschärft die Bedrohungslage für die betroffenen Benutzer.

Ursprünglich als nicht aktiv ausgenutzt eingestuft, hat Microsoft seine Bewertung von CVE-2024-21338 auf "Ausnutzung erkannt" was auf eine Veränderung in der Bedrohungslandschaft hinweist. Diese erhöhte Risikobewertung unterstreicht die Dringlichkeit der Behebung von Schwachstellen in der Cybersicherheit um potenziellen Angriffen zuvorzukommen.


Angriffe der Lazarus-Gruppe, Umgehungstechniken und gezielte Software

 

Das FudModule-Rootkit deaktiviert nicht nur die Systemprotokolle, sondern ist auch in der Lage, bestimmte Sicherheitssoftware zu umgehen, darunter AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro und Microsoft Defender Antivirus. Diese Umgehungstaktiken verbessern die Heimlichkeit und Ausdauer der Malware.

Die Lazarus APT-GruppeDie Angriffe der Lazarus APT-Gruppe sind ein Beispiel für die technische Raffinesse und den plattformübergreifenden Fokus der nordkoreanischen Hackergruppen. Diese Angreifer verfeinern ihr Arsenal kontinuierlich und setzen fortschrittliche Techniken ein, um sich der Entdeckung zu entziehen und globale Cyberspionageoperationen durchzuführen.

Jüngste Geheimdienstberichte haben die anhaltende Bedrohung durch Lazarus und ähnliche APT-Akteure (Advanced Persistent Threats) unterstrichen. Ihre Taktiken, die von Angriffen auf den Verteidigungssektor bis hin zur Infiltrierung von Justizsystemen reichen, verdeutlichen die Breite und Vielseitigkeit ihrer Operationen.


Erhöhte Wachsamkeit und Abhilfestrategien

 

In Anbetracht dieser Cybersicherheitsnachrichtenwerden Unternehmen und Einzelpersonen dringend aufgefordert, wachsam zu bleiben und solide Strategien zur Schadensbegrenzung umzusetzen. Rechtzeitige Anwendung von Windows-Sicherheitspatches, proaktive Bedrohungsinformationen und Schulungen zur Sensibilisierung der Benutzer sind wesentliche Bestandteile einer umfassenden Cybersicherheitsstrategie.


Schlussfolgerung


Die Ausnutzung von CVE-2024-21338 durch die Lazarus Group unterstreicht die sich entwickelnde Natur von Cyber-Bedrohungen und die Bedeutung von
proaktiver Cybersicherheitsmaßnahmen. Da die Angreifer weiterhin innovativ sind und sich anpassen, ist es für die Beteiligten unerlässlich, zusammenzuarbeiten, Informationen auszutauschen und die Abwehrmaßnahmen zu verstärken, um sich gegen neue Bedrohungen wie die Cyberangriffe der Lazarus-Gruppe. Nur durch gemeinsame Anstrengungen und unermüdliche Wachsamkeit können wir die Risiken, die von hochentwickelten Cyber-Angreifern ausgehen, eindämmen.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Die Platte.

Zusammenfassung
Lazarus-Hackergruppe nutzt Windows-Kernel-Fehler aktiv aus
Artikel Name
Lazarus-Hackergruppe nutzt Windows-Kernel-Fehler aktiv aus
Beschreibung
Erfahren Sie mehr über die neueste Cyber-Bedrohung: Lazarus-Hacker nutzen eine kritische Schwachstelle im Windows-Kernel aus. Bleiben Sie informiert, bleiben Sie sicher!
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter