O Grupo Lazarus, reconhecido por suas atividades cibernéticas maliciosas, recentemente capitalizou uma falha de escalonamento de privilégios no Kernel do Windows. Esta vulnerabilidade, identificada como CVE-2024-21338 e com uma pontuação CVSS de 7.8, possibilita que um atacante obtenha privilégios de SISTEMA, concedendo acesso ao nível do kernel. A exploração bem-sucedida dessa vulnerabilidade permite ao invasor desativar softwares de segurança em hosts comprometidos, representando uma ameaça significativa à segurança cibernética.

Exploração da Vulnerabilidade CVE-2024-21338

De acordo com a Microsoft, para explorar essa vulnerabilidade, um atacante precisa primeiro fazer login no sistema comprometido. Em seguida, ele pode executar um aplicativo especialmente criado para explorar a vulnerabilidade e assumir o controle do sistema afetado. Embora não houvesse indicações de exploração ativa da CVE-2024-21338 no momento do lançamento das atualizações, a Microsoft revisou sua Avaliação de Explorabilidade para a falha como “Exploração Detectada”, sugerindo que o Grupo Lazarus e possivelmente outros atores cibernéticos maliciosos já estavam explorando ativamente essa vulnerabilidade.

Ataque e Implantação do Rootkit FudModule

O exploit desenvolvido pelo Grupo Lazarus aproveita a CVE-2024-21338 no driver appid.sys para executar código arbitrário, contornando todas as verificações de segurança. Isso permite que o invasor instale o rootkit FudModule nos sistemas comprometidos. Esse tipo de ataque é extremamente preocupante, pois pode resultar em danos significativos aos sistemas e dados das organizações afetadas, além de comprometer sua segurança cibernética.

Medidas de Proteção e Prevenção

Diante dessa ameaça, é crucial que as organizações apliquem imediatamente as atualizações de segurança fornecidas pela Microsoft para corrigir essa vulnerabilidade e fortalecer a proteção de seus sistemas. Além disso, medidas adicionais de segurança cibernética, como monitoramento contínuo de ameaças, implementação de soluções de detecção de intrusão e conscientização dos funcionários sobre práticas seguras de computação, são essenciais para mitigar os riscos de ataques cibernéticos.

Fonte: Boletimsec

Saiba como o seguro cyber pode protege a sua empresa: