ClickCease El grupo de hackers Lazarus explota activamente un fallo del kernel de Windows

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

El grupo de hackers Lazarus explota activamente un fallo del kernel de Windows

Wajahat Raja

11 de marzo de 2024 - Equipo de expertos TuxCare

El mundo de la ciberseguridad bulle con la revelación de explotación por el Grupo Lazarus de una vulnerabilidad en el Kernel de Windows. El fallo del kernel de WindowsCVE-2024-21338, ha suscitado preocupación debido a su potencial para conceder a los atacantes acceso a nivel del núcleo y desactivar el software de seguridad, lo que supone una amenaza significativa para la integridad del sistema.

 

Origen y evolución de los fallos de seguridad de Windows


La vulnerabilidad se remonta a la versión 1703 de Windows 10 (RS2/15063), que tiene su origen en la implementación del manejador IOCTL 0x22A018. Su descubrimiento y explotación ponen de manifiesto los persistentes desafíos a los que se enfrentan los desarrolladores de software a la hora de fortificarse contra las cambiantes
amenazas a la ciberseguridad.

El proveedor de ciberseguridad Avast descubrió un exploit de administrador a núcleo para CVE-2024-21338, atribuyéndolo al Grupo Lazarus. Este exploit permitió al grupo conseguir una primitiva de lectura/escritura del kernel, facilitando la manipulación directa de objetos del kernel y el despliegue del rootkit FudModule.

En hackers de Lazarus aprovecharon CVE-2024-21338 para explotar appid.sys, un controlador crucial asociado con Windows AppLocker. Al saltarse las comprobaciones de seguridad, el grupo ejecuta código arbitrario, evadiendo los mecanismos de detección y ejecutando impunemente el rootkit FudModule.

 

Fallo del kernel de Windows Escalada de privilegios


El Grupo Lazarus, conocido por sus sofisticadas operaciones cibernéticas, aprovechó un fallo de escalada de privilegios recientemente parcheado en el Kernel de Windows como un
exploit de día cero. Este fallo, CVE-2024-21338, tiene una puntuación CVSS de 7,8, lo que indica su gravedad e impacto potencial en los sistemas afectados.

Esta vulnerabilidad, ahora infame en los círculos de ciberseguridadpermite a los atacantes alcanzar privilegios de SISTEMA explotando una vulnerabilidad en el Kernel de Windows. Microsoft abordó esta vulnerabilidad en sus recientes actualizaciones de seguridad de Windowssubrayando la urgencia de aplicar los parches con prontitud para mitigar los riesgos.

Para explotar CVE-2024-21338, un atacante debe primero obtener acceso al sistema objetivo. Posteriormente, puede ejecutar una aplicación especialmente diseñada para explotar la vulnerabilidad, allanando el camino para el acceso no autorizado y el control del sistema comprometido.


Acceso a nivel de núcleo y evaluación reforzada de riesgos

 

Cuando se explota, el fallo del kernel de Windows concede a los atacantes acceso a nivel del núcleo, un codiciado privilegio que les permite manipular los recursos del sistema y ejecutar código arbitrario. Este acceso elevado facilita la desactivación del software de seguridad, lo que agrava el panorama de amenazas para los usuarios afectados.

Inicialmente categorizado como no explotado activamente, Microsoft revisó su evaluación de CVE-2024-21338 a "Explotación detectada". lo que indica un cambio en el panorama de las amenazas. Esta evaluación de mayor riesgo subraya la urgencia de abordar vulnerabilidades de ciberseguridad para anticiparse a posibles ataques.


Ataques del Grupo Lazarus, técnicas de evasión y software específico

 

Además de desactivar los registradores del sistema, el rootkit FudModule es experto en eludir software de seguridad específico, como AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro y Microsoft Defender Antivirus. Estas tácticas de evasión aumentan el sigilo y la persistencia del malware.

El grupo Lazarus APTejemplifican la sofisticación técnica y el enfoque multiplataforma de los grupos de piratas informáticos norcoreanos. Estos adversarios perfeccionan continuamente su arsenal y utilizan técnicas avanzadas para eludir la detección y perpetrar operaciones de ciberespionaje a escala mundial.

Recientes avisos de inteligencia han puesto de relieve la amenaza persistente que representan Lazarus y otros actores similares de amenazas persistentes avanzadas (APT). Sus tácticas, que van desde atacar sectores de defensa hasta infiltrarse en sistemas judiciales, ponen de manifiesto la amplitud y versatilidad de sus operaciones.


Mayor vigilancia y estrategias de mitigación

 

A la luz de estas noticias sobre ciberseguridadse insta a las organizaciones y a los particulares a que permanezcan vigilantes y apliquen estrategias de mitigación sólidas. Aplicar oportunamente parches de seguridad de Windowsla información proactiva sobre amenazas y la formación para concienciar a los usuarios son componentes esenciales de una postura global de ciberseguridad.


Conclusión


La explotación de CVE-2024-21338 por el grupo Lazarus subraya la naturaleza evolutiva de las ciberamenazas y la importancia de
medidas proactivas de ciberseguridad. Como los adversarios siguen innovando y adaptándose, es imperativo que las partes interesadas colaboren, compartan información y refuercen las defensas para protegerse contra amenazas emergentes como los ciberataques del Grupo Lazarus. ciberataques del Grupo Lazarus. Sólo mediante un esfuerzo colectivo y una vigilancia inquebrantable podremos mitigar los riesgos que plantean los ciberadversarios sofisticados.

Las fuentes de este artículo incluyen artículos en The Hacker News y The Record.

Resumen
El grupo de hackers Lazarus explota activamente un fallo del kernel de Windows
Nombre del artículo
El grupo de hackers Lazarus explota activamente un fallo del kernel de Windows
Descripción
Conozca la última ciberamenaza: los hackers de Lazarus aprovechan un fallo crítico del kernel de Windows. Manténgase informado y seguro.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín