Windows 11 ponownie znalazł się w centrum uwagi po tym, jak północnokoreańska grupa hakerów znana jako Lazarus zwróciła niedawno uwagę ekspertów ds. bezpieczeństwa, wykorzystując lukę dnia zerowego w systemie Windows XNUMX. OS. Według informacji dostarczonych przez firmę Avast zajmującą się cyberbezpieczeństwem luka ta, zidentyfikowana jako CVE-2024-21338, została wykorzystana w celu umożliwienia eskalacji uprawnień za pośrednictwem rootkita o nazwie FudModule.
Specjaliści firmy Avast przekształcili tę lukę w system Windows 11 w exploit weryfikujący koncepcję (PoC), który został później przesłany do firmy Microsoft w sierpniu 2023 r. Firma Microsoft zareagowała stanowczo, naprawiając tę lukę w aktualizacjach z lutego 2024 r. Początkowo nie była klasyfikowana jako był to atak typu zero-day, ale po wykryciu aktywnego exploita firma Microsoft poprawiła i zaktualizowała poradnik, aby odzwierciedlić powagę sytuacji.
W systemie Windows 11 występuje luka w sterowniku „appid.sys”, powiązana z funkcją zabezpieczeń Microsoft AppLocker, niezbędną do zapobiegania uruchamianiu niechcianych aplikacji lub złośliwego oprogramowania w systemach Windows. Wykorzystanie takiej luki w sterowniku obecnym w wielu systemach daje atakującym znaczną przewagę, umożliwiając im wykonywanie złośliwych operacji bez konieczności instalowania niestandardowych sterowników. Metoda ta zapewnia wysoki stopień ukrycia, co komplikuje wysiłki w zakresie wykrywania ataków.
W systemie Windows 11 występuje KRYTYCZNY problem rozwiązany przez firmę Microsoft. Wymagana jest aktualizacja
Wykorzystując CVE-2024-21338, grupie Lazarus nie tylko udało się zwiększyć uprawnienia w zaatakowanych systemach Windows 11, ale także wdrożono zaktualizowany wariant rootkita FudModule. Ta ulepszona wersja rootkita zawiera funkcje zwiększające jego zdolność do pozostania niewykrytym oraz próby wyłączenia wiodących rozwiązań bezpieczeństwa, takich jak AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon i HitmanPro.
Oprócz tej luki atak Lazarus wiązał się także z wprowadzeniem nowego trojana zdalnego dostępu (RAT), szczegółowo opisanego później przez firmę Avast. Ujawnienia te podkreślają pilną potrzebę aktualizowania systemów przez użytkowników i organizacje oraz inwestowania w solidne rozwiązania zabezpieczające w celu ochrony przed zagrożeniami cybernetycznymi.
System Windows 11 traktuje to wydarzenie jako przypomnienie, że cyberataki stale ewoluują, a utrzymanie bezpieczeństwa cyfrowego wymaga stałej czujności i współpracy z dostawcami technologii i zabezpieczeń. Wdrażanie na czas aktualizacji zabezpieczeń, korzystanie z niezawodnego oprogramowania antywirusowego i edukacja w zakresie cyberbezpieczeństwa są niezbędne do zwalczania zagrożeń w coraz bardziej złożonym środowisku cyfrowym.
