El kernel de Microsoft es el núcleo del sistema operativo Windows, que actúa como una capa intermedia entre el hardware de la computadora y el software de nivel de usuario. Es responsable de gestionar los recursos del sistema, como la memoria, los dispositivos de entrada/salida y los procesos, así como proporcionar un entorno seguro y estable para la ejecución de aplicaciones.
Recientemente Avast ha descubierto un exploit de día cero utilizado activamente por Lazarus Group, dirigido a una vulnerabilidad en el controlador appid.sys de Windows. Esta vulnerabilidad identificada como CVE-2024-21338 con una puntuación CVSS de 7.8. El exploit requiere acceso previo al sistema, desde donde un atacante podría ejecutar una aplicación diseñada para aprovechar la vulnerabilidad y obtener privilegios del sistema. Esto representaba una amenaza significativa, ya que podría otorgar al atacante un control total sobre el sistema afectado. Si bien inicialmente no se marcó como un día cero, en una actualización posterior del 28 de febrero, Microsoft confirmó su explotación activa en la naturaleza.
La vulnerabilidad CVE-2024-21338 afecta al controlador ‘appid.sys’ de Microsoft, utilizado por la función de seguridad AppLocker. Al explotar esta vulnerabilidad, los hackers de Lazarus pudieron elevar sus privilegios en el sistema comprometido y establecer un acceso de lectura/escritura en el kernel, aprovechando así la presencia del controlador en numerosos sistemas para lograr un mayor grado de sigilo en sus ataques.
Versiones afectadas:
Windows Server 2019 Windows 10 versiones 1809, 21H2 y 22H2, incluyendo las variantes de 32 bits, x64 y ARM64 Windows Server (instalación Server Core) 2019 y 2022 Windows Server 2022 Windows 11 versiones 21H2, 22H2 y 23H2, tanto para sistemas basados en ARM64 como x64.
Solución:
Microsoft ha solventado esta vulnerabilidad en su Patch Tuesday de febrero 2024.
Recomendaciones:
- Aplicar las actualizaciones del Patch Tuesday para solventar esta y otras vulnerabilidades que podrían poner en riesgo a su organización.
- Utilizar herramientas como AppLocker para configurar políticas de seguridad que limiten la ejecución de aplicaciones y scripts no autorizados puede ayudar a mitigar el impacto de posibles ataques.
- Realizar auditorías regulares de acceso al sistema para detectar actividades sospechosas o intentos de escalada de privilegios puede ser útil para identificar posibles amenazas.
Referencias:
- https://securityonline.info/zero-day-alert-cve-2024-21338-lazarus-group-exploits-windows-kernel-vulnerability/
- https://www.securityweek.com/windows-zero-day-exploited-by-north-korean-hackers-in-rootkit-attack/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21338
- https://nvd.nist.gov/vuln/detail/CVE-2024-21338