Microsoft стала жертвой собственной безалаберности, поскольку в течение нескольких месяцев оставляла опасную проблему безопасности нерешенной. Северокорейская хакерская группа, известная как Lazarus, воспользовалась ситуацией, получив практически безграничный доступ к самой сокровенной части Windows — ядру.
Банда киберпреступников использовала уязвимость с августа 2023 года как средство для установки руткита, известного как FudModule.
По мнению исследователей Avast, FudModule — это исключительно скрытное и продвинутое вредоносное ПО, но Microsoft значительно облегчила жизнь хакерам, по сути рассматривая опасный недостаток как несущественную проблему.
Ошибка, отслеживаемая Microsoft как CVE-2024-21338, представляет собой уязвимость несанкционированного повышения привилегий ядра Windows. Теоретически злоумышленники с административным доступом могут использовать уязвимость для легкого взаимодействия с ядром ОС. Официальная политика Microsoft в отношении критериев обслуживания безопасности гласит, что такого рода проблемы «администратор-ядро» не квалифицируются как граница безопасности, а это означает, что компания, скорее всего, не будет спешить с устранением ошибки в ближайшее время.
Avast заявляет, что получение неограниченного доступа к ядру является «Святым Граалем» любого руткита, скрытой угрозы, обычно предназначенной для нарушения мер безопасности ОС без прямых признаков своих действий. Доступ к ядру может быть достигнут путем использования известных уязвимостей в сторонних драйверах — подход, известный как BYOVD (принеси свой собственный уязвимый драйвер).
По словам Avast, BYOVD — это «шумный» метод, который может быть перехвачен и заблокирован пользователями или средствами безопасности. Однако уязвимость CVE-2024-21338 находится в родном драйвере службы AppLocker для Windows (appid.sys).
Благодаря CVE-2024-21338 и халатности Microsoft в правильном решении проблемы, руткит FudModule предоставил хакерам Lazarus возможность делать в системе Windows все, что они хотели. Вредоносное ПО могло легко обходить меры безопасности, полностью скрывать признаки своих вредоносных действий (файлы на диске, процессы памяти, сетевую активность и т. д.) и многое другое.
В феврале 2024 года Microsoft наконец выпустила патч для исправления CVE-2024-21338, но исходный бюллетень по безопасности не содержал соответствующей информации об истинном масштабе и опасности проблемы. После того, как 15 дней спустя Avast публично рассказал об уязвимости, Microsoft, похоже, была вынуждена обновить свой бюллетень.
Эксперты по безопасности сейчас занимают противоречивые позиции относительно поведения Редмонда с CVE-2024-21338. Независимый исследователь Кевин Бомонт заявил, что наличие «самой большой рыночной капитализации в мире», вероятно, обеспечит достаточно средств для правильного инвестирования в безопасность, в то время как Уилл Дорманн (Analygence) сказал, что у Microsoft могла быть «очень веская причина» (или другие инженерные приоритеты) отложить выпуск исправления CVE-2024-21338 на шесть месяцев.
Иван Ковалев
VIAИмея более чем двадцатилетний опыт в написании разного рода статей и не одну тысячу публикации в профильных СМИ, ваш
глядя на свой смартфон, вы наверняка не раз задумывались о создании своего собственного видеоблога с его помощью?
Взгляд изнутри на разработку и производство Xbox One X, и что это означает для будущего консольных игр
