Falha zero-day explorada em ataques no Windows por grupo da Coreia do Norte
O grupo de hackers Lazarus, bem conhecido das autoridades pelas suas relações com o governo da Coreia do Norte, encontra-se a explorar uma falha zero-day no Windows para levar à instalação de um rootkit no sistema.
Recentemente a Microsoft lançou uma nova atualização para os sistemas Windows, com o Patch Tuesday, sendo que uma das vulnerabilidades corrigidas seria esta falha zero-day. A falha estaria a ser usada pelo grupo para instalar versões modificadas de drivers no sistema, que poderiam permitir ataques em larga escala e roubo de dados.
A falha encontrava-se no Ancillary Function Driver for WinSock (AFD.sys), uma driver usada para a gestão do protocolo Winsock no kernel do Windows. Ao explorar a falha, os atacantes poderiam modificar a mesma para usarem uma versão maliciosamente modificada, que poderia ser usada como porta de entrada para ataques a sistemas Windows.
A falha foi inicialmente encontrava pela empresa de segurança Gen Digital, sendo que os ataques encontram-se a ser realizados desde meados de Junho. A mesma estaria a ser usada para desativar alguns mecanismos de segurança do Windows e de software de segurança que se possa encontrar instalado no mesmo.
“Esta falha permitiu-lhes obter acesso não autorizado a áreas sensíveis do sistema. Também descobrimos que utilizaram um tipo especial de malware chamado Fudmodule para ocultar as suas atividades do software de segurança.”
Um ataque Bring Your Own Vulnerable Driver ocorre quando os atacantes instalam controladores com vulnerabilidades conhecidas em máquinas alvo, que são depois exploradas para obter privilégios ao nível do kernel. Os agentes maliciosos frequentemente abusam de controladores de terceiros, como os de antivírus ou hardware, que exigem altos privilégios para interagir com o kernel.
Algo que torna esta vulnerabilidade particularmente grave encontra-se no facto de afetar a driver AFD.sys, que se encontra em praticamente todas as instalações do Windows. Portanto, esta poderia ser ativamente explorada num elevado número de dispositivos.
Para prevenir a exploração da falha, os utilizadores são aconselhados a atualizarem as suas instalações do Windows para as versões mais recentes, nomeadamente com a instalação da mais recente atualização do Patch Tuesday.