Il gruppo di hacker nordcoreani, noti come Lazarus, è tornato a far parlare di sé.
Come è emerso negli scorsi giorni, infatti, collettivo di cybercriminali ha sfruttato per ben sei mesi un exploit zero-day di Windows, che Microsoft conosceva ma per cui non ha proposto tempestivamente un’adeguata patch. Anche dopo che l’azienda di Redmond ha corretto la vulnerabilità, durante lo scorso mese, non ha mai ammesso che Lazarus abbia effettivamente abusato della stessa.
Gli hacker, a partire dallo scorso agosto, hanno installato rootkit nei computer vulnerabili, con un malware che ha ottenuto con relativa facilità pieno accesso al kernel di Windows. Secondo quanto riportato da Jan Vojtěšek, ricercatore di Avast, per i criteri di servizio di sicurezza Microsoft, un amministratore kernel non rappresenta una minaccia immediata. Tutto ciò spiega la grande calma con cui la compagnia ha affrontato il problema.
A conti fatti, le politiche di Microsoft si sono rivelate un vantaggio concreto per Lazarus. I cybercriminali hanno installato un rootkit personalizzato noto come FudModule, che sfruttava proprio questa lacuna.
Exploit Windows 0-day: per Microsoft il kernel non è una priorità di sicurezza
La vulnerabilità, catalogata con il codice CVE-2024-21338 è stata segnalata a Microsoft lo scorso agosto, con tanto di tutta la documentazione del caso. Nonostante ciò, a quanto pare, gli sviluppatori se ne sono occupati solo di recente.
Di sicuro, in questo lasso di tempo Lazarus ha potuto affinare il suo attacco, rafforzando la posizione sui sistemi Windows già compromessi e sprovvisti di patch. Nonostante la pioggia di critiche piovute su Microsoft, poi, vi è anche chi assume una posizione più moderata.
Parliamo, per esempio, di Will Dormann, analista senior di vulnerabilità presso la società di sicurezza Analygence. In una sua dichiarazione, Dormann, ha affermato come le attese di sei mesi per correggere exploit sono comunque comuni, anche se vista la portata della minaccia potrebbe rendere molto meno accettabili le tempistiche della patch.
Microsoft, dal canto suo, non ha voluto rilasciare dichiarazioni ufficiali in merito. Di certo, ora che la vulnerabilità è stata resa pubblica, il rischio è che altri cybercriminali seguano l’esempio di Lazarus e cerchino di sfruttarla a loro vantaggio.