Στα πλαίσια των μηνιαίων ενημερώσεων ασφαλείας Patch Tuesday, η Microsoft διόρθωσε μια ευπάθεια στα Windows που είχε χρησιμοποιηθεί ως zero-day από τους Βορειοκορεάτες hackers Lazarus.
Η ευπάθεια, η οποία παρακολουθείται ως CVE-2024-38193 (βαθμολογία CVSS: 7,8), έχει περιγραφεί ως σφάλμα κλιμάκωσης προνομίων στο Windows Ancillary Function Driver (AFD.sys) για WinSock.
“Ένας εισβολέας που εκμεταλλεύεται με επιτυχία αυτήν την ευπάθεια θα μπορούσε να αποκτήσει προνόμια SYSTEM“, δήλωσε η Microsoft την περασμένη εβδομάδα.
Δείτε επίσης: Ευπάθειες εκθέτουν ηλιακά συστήματα σε hacking
Οι ερευνητές της Gen Digital, Luigino Camastra και Milánek, ανακάλυψαν και ανέφεραν την ευπάθεια. Η Gen Digital κατέχει μια σειρά από security software brands και βοηθητικά προγραμμάτα, όπως Norton, Avast, Avira, AVG, ReputationDefender και CCleaner.
Η Microsoft προειδοποίησε ότι η ευπάθεια επιτρέπει στους επιτιθέμενους να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες περιοχές του συστήματος.
Το σφάλμα άρχισε να χρησιμοποιείται από τους Lazarus hackers στις αρχές Ιουνίου 2024. “Η ευπάθεια επέτρεψε στους εισβολείς να παρακάμψουν τους κανονικούς περιορισμούς ασφαλείας και να αποκτήσουν πρόσβαση σε ευαίσθητες περιοχές συστήματος στις οποίες δεν έχουν πρόσβαση οι περισσότεροι χρήστες και οι διαχειριστές“.
Οι ερευνητές παρατήρησαν ότι οι επιθέσεις χαρακτηρίζονταν από τη χρήση ενός rootkit που ονομάζεται FudModule, σε μια προσπάθεια αποφυγής εντοπισμού.
Δείτε επίσης: Η ευπάθεια SLUBStick Linux επιτρέπει στους hackers να αποκτήσουν πλήρη έλεγχο του συστήματος
Ενώ οι ακριβείς τεχνικές λεπτομέρειες είναι προς το παρόν άγνωστες, η ευπάθεια θυμίζει ένα άλλο παρόμοιο σφάλμα, που διόρθωσε η Microsoft τον Φεβρουάριο και χρησιμοποιήθηκε επίσης από τη Lazarus Group για την εγκατάσταση του FudModule.
Προηγούμενες επιθέσεις που περιγράφονται λεπτομερώς από την εταιρεία κυβερνοασφάλειας Avast αποκάλυψαν ότι το rootkit παραδίδεται μέσω ενός trojan απομακρυσμένης πρόσβασης, γνωστού ως Kaolin RAT.
Η συνεχιζόμενη απειλή από την εκμετάλλευση τέτοιων ευπαθειών υπογραμμίζει την ανάγκη οι οργανισμοί να παραμένουν σε επαγρύπνηση. Η εφαρμογή ενημερώσεων, η εκπαίδευση των εργαζομένων στις τακτικές phishing και κοινωνικής μηχανικής και η εφαρμογή ισχυρών συστημάτων παρακολούθησης είναι ζωτικής σημασίας για τον μετριασμό των κινδύνων που σχετίζονται με τέτοιες περίπλοκες επιθέσεις. Επιπλέον, η ανάπτυξη λύσεων ανίχνευσης και απόκρισης τελικού σημείου (EDR) μπορεί να βοηθήσει στον εντοπισμό ασυνήθιστων συμπεριφορών που μπορεί να υποδηλώνουν την παρουσία rootkit ή άλλου κρυφού κακόβουλου λογισμικού.
Δείτε επίσης: Ευπάθεια στο Siri επιτρέπει την κλοπή δεδομένων ακόμα και σε κλειδωμένες συσκευές Apple
Καθώς οι απειλές στον κυβερνοχώρο συνεχίζουν να εξελίσσονται, η ενημέρωση σχετικά με τις πιο πρόσφατες ευπάθειες και τις ομάδες απειλών είναι απαραίτητη για την προστασία ευαίσθητων δεδομένων και τη διατήρηση της ακεραιότητας των συστημάτων. Οι οργανισμοί πρέπει επίσης να εξετάσουν τον πιθανό αντίκτυπο των φορέων που υποστηρίζονται από κράτη και να λάβουν τα κατάλληλα μέτρα για να ασφαλίσουν τα συστήματά τους έναντι αυτών των αντιπάλων.
Πηγή: thehackernews.com
