8 月 19 日安全公司 Gen 向微軟通報,發現用 13 日微軟例行修補程式日修復 CVE-2024-38193 零時差漏漏(0-Day)的最新攻擊風險。北韓贊助的駭客組織 Lazarus 旗下駭客成功利用零時差漏洞,在受害 Windows 系統植入既隱密又先進的客製化 Rootkit 惡意軟體。但 Gen 並沒有提供更關鍵細節,漏洞是何時 Lazarus 利用、多少組織淪為攻擊目標,是否有安全機制偵測到惡意軟體等。
CVE-2024-38193 是 13 日微軟例行更新修復的六個零時差漏洞之一,微軟在安全公告中表示,這個屬於「釋放後使用」(use after free)的漏洞位於 AFD.sys 檔案中,它是輔助函數驅動程式的二進位檔,也是 Winsock API 的核心進入點。
微軟警告,攻擊者可以利用這個零時差漏洞獲取 Windows 中可用的最高系統權限,該權限是駭客夢寐以求執行未受信任程式碼所需的聖杯級狀態。雖然微軟警告指出,該漏洞正在被積極濫用,但卻未提供有關攻擊者或其最終目標的詳細資訊。所幸 Norton、Norton Lifelock、Avast 和 Avira 等知名資安品牌的集團母公司 Gen 在週一發現了該漏洞攻擊事件並通報了微軟,該公司指出,這些威脅攻擊者隸屬於朝鮮政府支助的駭客組織 Lazarus。
Lazarus 組織會利用該漏洞在受害系統中安裝名為 FudModule 的 rootkit 惡意軟體,該 rootkit 最早於 2022 年被 Ahnlab 及 ESET 兩家安全公司發現,並且以曾存在於其匯出表格中的 FudModule.dll 檔而命名。該 rootkit 之所以引人注目,是因為它能夠在 Windows 最深層次的區域中穩定運行,該領域在當時和現在都未被普遍理解。這種能力使 FudModule 能夠禁用受害企業內外部安全防護機制的監控之舉。
舊版 Rootkit 透過 BYOVD 手法植入,新版 Rootkit 透過 appid.sys 漏洞植入
Rootkit 最可怕之處在於,它透過系統權限的獲取,進而能直接與作業系統核心互動。2022 年發現的早期 FudModule 變體是透過一種稱為「自帶有漏洞的驅動程式」(Bring Your Own Vulnerable Driver,BYOVD)攻擊手法安裝的,透過該手法,駭客能安裝一個內含已知漏洞的合法驅動程式,進而獲得核心的存取權限。
除了 2022 年版的 FudModule 變體,今年 3 月初安全公司 Avast 研究人員發現了更新版的 FudModule 變體,該變體能夠規避像是微軟 Defender 內端點偵測與回應 (Endpoint Detection and Response) 和 Protected Process Light 系統程式保護機制等關鍵 Windows 安全防禦措施。但在 Avast 私下通報該漏洞後,微軟花了 6 個月才修復該漏洞,這段空窗期讓 Lazarus 組織得以持續利用這一漏洞發動更精細複雜的 rootkit 攻擊。
新版 FudModule 變體採取了和舊版所用 BYOVD 截然不同的攻擊手法,它利用 appid.sys 中的漏洞植入 FudModule,至於 appid.sys 則是一個專門啟用 Windows AppLocker 服務的驅動程式。Avast 研究人員在先前的報告中表示,這些攻擊中所利用的 Windows 漏洞宛如駭客長驅直入的聖杯,因為它直接嵌入在作業系統中,不需藉助協力廠商來源進行安裝。
不論如何,企業應該盡早完成微軟上週二的更新修補程式,以免自家 Windows 系統遭到北韓駭客組織的入侵。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
