Hackers, gesteund door de Noord-Koreaanse overheid, behaalden een grote overwinning toen Microsoft Windows zero-day ongepatcht verliet, zes maanden nadat ze hoorden dat het actief werd uitgebuit.
Zelfs nadat Microsoft de kwetsbaarheid vorige maand had gepatcht, vermeldde het bedrijf niet dat de Noord-Koreaanse dreigingsgroep Lazarus de kwetsbaarheid in ieder geval sinds augustus gebruikte om een sluipende rootkit op kwetsbare computers te installeren. De kwetsbaarheid bood een gemakkelijke en sluipende manier voor malware die al administratieve systeemrechten had verworven om met de Windows-kernel te communiceren. Lazarus maakte misbruik van de kwetsbaarheid om precies dat te doen. Toch heeft Microsoft al lang gezegd dat dergelijke verhogingen van beheerder naar kernel geen veiligheidsgrensoverschrijding vormen, wat een verklaring zou kunnen zijn voor de tijd die Microsoft nodig had om het beveiligingslek te patchen.
heilige graal rootkit
“Als het om Windows-beveiliging gaat, is er een dunne lijn tussen de beheerder en de kernel”, legde Jan Vojtešek, onderzoeker bij beveiligingsbedrijf Avast, vorige week uit. “Microsoft’s Security Service Criteria stellen al lang dat ‘[a]’beheerder-tot-kernel is geen beveiligingsgrens’, wat betekent dat Microsoft zich het recht voorbehoudt om naar eigen goeddunken kwetsbaarheden in de beheerder-kernel te patchen. Als gevolg hiervan is het niet gegarandeerd dat het Windows-beveiligingsmodel voorkomt dat een aanvaller op beheerdersniveau rechtstreeks toegang krijgt tot de kernel.”
Het beleid van Microsoft bleek een zegen voor Lazarus bij het installeren van “FudModule”, een aangepaste rootkit waarvan Avast zei dat deze uiterst onopvallend en geavanceerd was. Rootkits zijn stukjes schadelijke software die de mogelijkheid hebben om hun bestanden, processen en andere interne functies voor het besturingssysteem zelf te verbergen en tegelijkertijd de diepste niveaus van het besturingssysteem te controleren. Om te kunnen werken, moeten ze eerst beheerdersrechten verkrijgen – een belangrijke prestatie voor elke malware die een modern besturingssysteem infecteert. Dan moeten ze nog een hindernis overwinnen: directe interactie met de kernel, de diepste uitsparing van het besturingssysteem die is gereserveerd voor de meest gevoelige functies.
In de afgelopen jaren hebben Lazarus en andere bedreigingsgroepen deze laatste drempel vooral bereikt door systeemstuurprogramma’s van derden te gebruiken, die per definitie al toegang hebben tot de kernel. Om met ondersteunde versies van Windows te kunnen werken, moeten stuurprogramma’s van derden eerst digitaal worden ondertekend door Microsoft om te verifiëren dat ze vertrouwd zijn en aan de beveiligingsvereisten voldoen. In het geval dat Lazarus of een andere bedreigingsacteur al een administratieve barrière heeft weggenomen en een kwetsbaarheid in een goedgekeurd stuurprogramma heeft geïdentificeerd, kunnen zij deze installeren en de kwetsbaarheid misbruiken om toegang te krijgen tot de Windows-kernel. Deze techniek – bekend als BYOVD (bring your own vulnerability driver) – heeft echter een prijs, omdat deze verdedigers voldoende mogelijkheden biedt om een lopende aanval te detecteren.
De kwetsbaarheid waarvan Lazarus misbruik maakte, getraceerd als CVE-2024-21338, bood aanzienlijk meer stealth dan BYOVD omdat het appid.sys exploiteerde, de driver die de Windows AppLocker-service mogelijk maakt, die vooraf is geïnstalleerd in het Microsoft OS. Avast zei dat dergelijke kwetsbaarheden de ‘heilige graal’ vertegenwoordigen in vergelijking met BYOVD.
Avast-onderzoekers stuurden Microsoft in augustus een beschrijving van de zero-day, samen met proof-of-concept-code die liet zien wat het doet als het wordt uitgebuit. Microsoft heeft de kwetsbaarheid pas vorige maand gepatcht. Zelfs toen kwam de onthulling van de actieve CVE-2024-21338-exploit en details van de Lazarus-rootkit niet van Microsoft in februari, maar van Avast 15 dagen later. Een dag later heeft Microsoft zijn patchbulletin bijgewerkt om de exploit op te merken.