Хакери використовували вразливість у Windows протягом 6 місяців після того, як Microsoft про неї дізналася

Хакерська група Lazarus, пов’язана з північною Кореєю, пів року використовувала одну з вразливостей системи безпеки Windows, про яку знали, але не виправляли у Microsoft, повідомляє Ars Technica.

Навіть після того, як минулого місяця Microsoft виправила вразливість, компанія не згадала про те, що Lazarus використовувала її щонайменше з серпня для встановлення прихованого руткіту на вразливі комп’ютери.

Вразливість нульового дня надавала шкідливому програмному забезпеченню, яке вже отримало права адміністратора системи, простий і непомітний спосіб взаємодіяти з ядром Windows. Lazarus використовував цю вразливість саме для цього.

Попри це, Microsoft вже давно заявляла, що таке підвищення прав адміністратора до рівня ядра не є перетином кордону безпеки, що є можливим поясненням, чому компанії знадобилося так багато часу для виправлення вразливості.

«Коли йдеться про безпеку Windows, існує тонка межа між адміністратором та ядром», – пояснив минулого тижня Ян Войтешек, дослідник компанії Avast, що займається питаннями безпеки.

За критеріями обслуговування безпеки Microsoft, перехід від адміністратора до ядра не є межею безпеки, а це означає, що Microsoft залишає за собою право виправляти вразливості між адміністратором і ядром на власний розсуд. Як наслідок, модель безпеки Windows не гарантує, що вона не дозволить зловмиснику з правами адміністратора отримати прямий доступ до ядра.

Політика Microsoft виявилася благом для Lazarus під час встановлення FudModule, спеціального руткіту, який, за словами Avast, був надзвичайно непомітним і просунутим. Руткіти – це частини шкідливого програмного забезпечення, які мають здатність приховувати свої файли, процеси та іншу внутрішню роботу від самої операційної системи та водночас контролювати найглибші рівні операційної системи.

Щоб працювати, вони повинні спочатку отримати адміністративні привілеї — головне досягнення для будь-якого шкідливого програмного забезпечення. Потім вони мають подолати ще одну перешкоду: безпосередньо взаємодіяти з ядром – найпотаємнішою частиною ОС, зарезервованою для найбільш чутливих функцій.

У минулі роки Lazarus та інші хакерські групи досягали цього останнього порогу, загалом використовуючи сторонні системні драйвери, які за визначенням вже мають доступ до ядра. Щоб працювати з підтримуваними версіями Windows, драйвери сторонніх виробників повинні мати цифровий підпис Microsoft, який підтверджує, що вони заслуговують на довіру та відповідають вимогам безпеки.

Якщо Lazarus або інший зловмисник вже подолав адміністративний бар’єр і виявив вразливість у затвердженому драйвері, він може встановити його і використати цю вразливість для отримання доступу до ядра Windows. Цей метод, відомий як BYOVD (bring your own vulnerable driver), має свою ціну, оскільки надає захисникам широкі можливості для виявлення атаки.

У серпні дослідники Avast надіслали Microsoft опис вразливості нульового дня разом із кодом, який демонстрував, що відбувається під час його використання. Microsoft виправила вразливість лише минулого місяця. Але навіть тоді про активну експлуатацію CVE-2024-21338 та деталі руткіту Lazarus стало відомо не від Microsoft у лютому, а від Avast через 15 днів. Ще через день Microsoft оновила свій бюлетень патчів, щоб вказати на цю експлуатацію.

Оскільки Microsoft не пояснює, як вона впоралася з виправленням CVE-2024-21338, світ, швидше за все, ніколи про це не дізнається. Зрозуміло одне: тепер, коли вразливість стала публічною, ризик її експлуатації зріс. Користувачам Windows, які тривалий час не оновлювали систему безпеки Windows, слід зробити це в пріоритетному порядку.