Windows 11 este iar in centrul atentiei, dupa ce recent, grupul de hackeri nord-coreeni, cunoscut sub numele de Lazarus, a atras atenția experților în securitate prin exploatarea unei vulnerabilități zero-day în cadrul sistemului de operare. Această vulnerabilitate, identificată ca CVE-2024-21338, a fost exploatată pentru a permite escaladarea privilegiilor prin intermediul unui rootkit denumit FudModule, conform informațiilor furnizate de compania de securitate cibernetică Avast.
Windows 11 a avut aceasta vulnerabilitate transformata de catre specialiștii Avast intr-un exploit proof-of-concept (PoC), care a fost ulterior trimis către Microsoft în august 2023. Microsoft a răspuns greu, remediind vulnerabilitatea în cadrul actualizărilor sale din februarie 2024. Inițial, nu a fost clasificată drept zero-day, dar, după detectarea exploatării active, Microsoft a revizuit și actualizat avizul pentru a reflecta gravitatea situației.
Windows 11 are aceasta vulnerabilitatea in driverul “appid.sys”, asociat cu caracteristica de securitate Microsoft AppLocker, esențială în prevenirea executării aplicațiilor nedorite sau malware-ului pe sistemele Windows. Exploatarea unei asemenea vulnerabilități într-un driver prezent pe numeroase sisteme oferă atacatorilor un avantaj semnificativ, permițându-le să execute operațiuni maligne fără a fi nevoie să instaleze drivere personalizate. Aceasta metodă oferă un grad ridicat de ascundere, complicând eforturile de detectare a atacurilor.
Windows 11 are o Problema CRITICA Rezolvata de Microsoft, Actualizarea este Necesara
Prin utilizarea CVE-2024-21338, grupul Lazarus nu numai că a reușit să-și sporească privilegiile pe sistemele Windows 11 compromise, dar a și implementat o variantă actualizată a rootkit-ului FudModule. Această versiune îmbunătățită a rootkit-ului include caracteristici care îi cresc capacitatea de a rămâne nedetectat și eforturi de a dezactiva soluții de securitate de top, precum AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon și HitmanPro.
Pe lângă această vulnerabilitate, atacul Lazarus a implicat și introducerea unui nou troian de acces la distanță (RAT), detaliat ulterior de Avast. Aceste dezvăluiri subliniază nevoia imperativă a utilizatorilor și organizațiilor de a menține sistemele actualizate și de a investi în soluții de securitate robuste pentru a se proteja împotriva amenințărilor cibernetice.
Windows 11 are acest incident drept un memento că atacurile cibernetice sunt în continuă evoluție și că menținerea securității digitale necesită vigilanță constantă și colaborare cu furnizorii de tehnologie și securitate. Implementarea actualizărilor de securitate la timp, utilizarea unui software antivirus de încredere și educația privind securitatea cibernetică sunt esențiale pentru a combate amenințările într-un mediu digital din ce în ce mai complex.
