Microsoft ha risolto una grave vulnerabilità zero-day nel kernel di Windows con le patch rilasciate il 13 febbraio. Si scopre ora che il problema di sicurezza era stato segnalato dai ricercatori di Avast nel mese di agosto 2023, quindi circa sei mesi prima. Il bug è stato sfruttato dal famigerato gruppo Lazarus per infettare i computer con il rootkit FudModule.
Patch distribuite in ritardo
La vulnerabilità, indicata con CVE-2024-21338, era presente nel driver appid.sys
, un componente di Windows AppLocker, la tecnologia che permette di creare una whitelist di applicazioni. I ricercatori di Avast hanno segnalato il bug nel mese di agosto 2023, ma le patch per Windows 10, 11 e Server sono state rilasciate il 13 febbraio.
Come spiega Microsoft nel bollettino di sicurezza, la vulnerabilità può essere sfruttata solo se un malintenzionato effettua l’accesso al sistema operativo ed esegue un’applicazione infetta per ottenere i privilegi SYSTEM (e quindi prendere il controllo del computer), senza l’interazione dell’utente.
Avast ha rilevato attacchi da parte del gruppo Lazarus. I cybercriminali nordcoreani usano solitamente la tecnica BYOVD (Bring Your Own Vulnerable Driver) che prevede l’accesso al kernel tramite driver vulnerabili di terze parti. Stavolta invece il driver (appid.sys
) vulnerabile è già installato sul computer.
Utilizzando il rootkit FudModule, i cybercriminali hanno ingannato il kernel, aggirato le protezioni e mantenuto la persistenza nel sistema. Tutti i dettagli tecnici possono essere letti sul sito di Avast. Gli utenti devono quindi installare urgentemente gli aggiornamenti KB5034763, KB5034765 e KB5034769 di Windows 10 22H2, Windows 11 23H2 e Windows Server 23H2.