Microsoft стала жертвой собственной безалаберности, поскольку в течение нескольких месяцев оставляла опасную проблему безопасности нерешенной. Северокорейская хакерская группа, известная как Lazarus, воспользовалась ситуацией, получив практически безграничный доступ к самой сокровенной части Windows — ядру.
Банда киберпреступников использовала уязвимость с августа 2023 года как средство для установки руткита, известного как FudModule.
По мнению исследователей Avast, FudModule — это исключительно скрытное и продвинутое вредоносное ПО, но Microsoft значительно облегчила жизнь хакерам, по сути рассматривая опасный недостаток как несущественную проблему.
Ошибка, отслеживаемая Microsoft как CVE-2024-21338, представляет собой уязвимость несанкционированного повышения привилегий ядра Windows. Теоретически злоумышленники с административным доступом могут использовать уязвимость для легкого взаимодействия с ядром ОС. Официальная политика Microsoft в отношении критериев обслуживания безопасности гласит, что такого рода проблемы «администратор-ядро» не квалифицируются как граница безопасности, а это означает, что компания, скорее всего, не будет спешить с устранением ошибки в ближайшее время.
Avast заявляет, что получение неограниченного доступа к ядру является «Святым Граалем» любого руткита, скрытой угрозы, обычно предназначенной для нарушения мер безопасности ОС без прямых признаков своих действий. Доступ к ядру может быть достигнут путем использования известных уязвимостей в сторонних драйверах — подход, известный как BYOVD (принеси свой собственный уязвимый драйвер).
По словам Avast, BYOVD — это «шумный» метод, который может быть перехвачен и заблокирован пользователями или средствами безопасности. Однако уязвимость CVE-2024-21338 находится в родном драйвере службы AppLocker для Windows (appid.sys).
Благодаря CVE-2024-21338 и халатности Microsoft в правильном решении проблемы, руткит FudModule предоставил хакерам Lazarus возможность делать в системе Windows все, что они хотели. Вредоносное ПО могло легко обходить меры безопасности, полностью скрывать признаки своих вредоносных действий (файлы на диске, процессы памяти, сетевую активность и т. д.) и многое другое.
В феврале 2024 года Microsoft наконец выпустила патч для исправления CVE-2024-21338, но исходный бюллетень по безопасности не содержал соответствующей информации об истинном масштабе и опасности проблемы. После того, как 15 дней спустя Avast публично рассказал об уязвимости, Microsoft, похоже, была вынуждена обновить свой бюллетень.
Эксперты по безопасности сейчас занимают противоречивые позиции относительно поведения Редмонда с CVE-2024-21338. Независимый исследователь Кевин Бомонт заявил, что наличие «самой большой рыночной капитализации в мире», вероятно, обеспечит достаточно средств для правильного инвестирования в безопасность, в то время как Уилл Дорманн (Analygence) сказал, что у Microsoft могла быть «очень веская причина» (или другие инженерные приоритеты) отложить выпуск исправления CVE-2024-21338 на шесть месяцев.
Иван Ковалев
VIAНедавний полный запрет YouTube на блокировщики рекламы сегодня является горячей темой для дискуссий. Но что, если вы
Игра предназначена для истинных поклонников разного рода гонок. Вам, если вы поклонник или хотя бы просто загрузили это
Быстрый ответ: Да. Любой 20-миллиметровый ремешок, который подходит для Samsung Galaxy Watch 5, также подойдет и для
