Vulnerabilità zero-day di Windows utilizzata per installare rootkit: CVE-2024-38193

Delle sei vulnerabilità zero-day risolte da Microsoft a metà agosto, una è stata attivamente utilizzata dal noto gruppo hacker Lazarus per installare un pericoloso rootkit sui sistemi Windows.
Michele Nasi
Pubblicato il 20 ago 2024
Vulnerabilità zero-day di Windows utilizzata per installare rootkit: CVE-2024-38193

Nel corso del Patch Tuesday di ferragosto, Microsoft ha risolto una vulnerabilità critica già nota agli aggressori e classificata con l’identificativo CVE-2024-38193. Si tratta di un problema di sicurezza rilevante, individuato all’interno del driver di sistema AFD.sys (Windows Ancillary Function Driver for WinSock).

AFD è un componente essenziale del sistema operativo Windows che svolge un ruolo cruciale nella gestione delle comunicazioni di rete. Funge da interfaccia tra le applicazioni che utilizzano il protocollo di rete Winsock e il kernel di Windows, gestendo le operazioni di rete TCP/IP a basso livello. Il driver supporta funzioni supplementari e avanzate richieste dalle applicazioni di rete, facilitando le comunicazioni tra software e hardware.

Il contesto della vulnerabilità CVE-2024-38193

Precedentemente indicata come vulnerabilità zero-day, Microsoft ha avvertito che CVE-2024-38193 permette agli attaccanti di ottenere privilegi di sistema, il livello massimo di autorizzazione in Windows. Acquisendo tali diritti, gli attaccanti possono guadagnare l’accesso a parti critiche del sistema operativo, normalmente inaccessibili agli utenti o agli amministratori standard.

La società guidata da Satya Nadella, pur confermando che la vulnerabilità in questione era già sfruttata attivamente, non aveva fornito dettagli su chi fossero gli autori degli attacchi o quali fossero i loro obiettivi. Tuttavia, una recente ricerca condotta da Gen, società di sicurezza che ha scoperto gli attacchi e li ha segnalati a Microsoft, ha identificato gli aggressori come membri del noto gruppo Lazarus, un’organizzazione di hacker sostenuta dal governo nordcoreano.

Il gruppo Lazarus e l’installazione di malware avanzati

Secondo i ricercatori di Gen, l’obiettivo di Lazarus – che per primo ha sfruttato la falla CVE-2024-38193 – era l’installazione di FudModule, un malware sofisticato classificato come rootkit, già analizzato nel 2022 da AhnLab ed ESET.

FudModule è conosciuto per la sua capacità di operare nelle aree più profonde del sistema operativo Windows, disabilitando i sistemi di monitoraggio. Questo comportamento rende la minaccia particolarmente pericolosa, poiché riesce a nascondere la sua presenza all’interno del sistema celando file, processi e altre operazioni in corso.

Un rootkit come FudModule necessita dei privilegi SYSTEM per funzionare, in modo da interagire direttamente con il kernel di Windows.

Di recente, i ricercatori di Avast hanno identificato una variante di FudModule capace di eludere importanti difese di Windows, come Endpoint Detection and Response (EDR) e Protected Process Light (PPL). Un aggiornamento che costituiva una preoccupante evoluzione del malware, permettendo agli hacker di continuare a sfruttare la vulnerabilità per mesi prima che Microsoft rilasciasse una patch correttiva. La variante scoperta da Avast sfruttava un bug nel driver appid.sys, associato al servizio Windows AppLocker. Questo tipo di vulnerabilità è un po’ considerato come il “Santo Graal” dagli hacker: gli attaccanti possono prendere di mira un componente direttamente integrato nel sistema operativo, evitando la necessità di introdurre elementi esterni.

Implicazioni e considerazioni finali

Nonostante le rivelazioni di Gen, a dispetto delle tante informazioni sin qui raccolte su Lazarus e sulle sue attività, sul tavolo rimangono comunque numerose domande senza risposta.

Non è chiaro, ad esempio, quando Lazarus abbia iniziato a sfruttare la vulnerabilità CVE-2024-38193, quante organizzazioni siano state prese di mira o se l’ultima variante di FudModule sia stata rilevata da sistemi di protezione degli endpoint. Inoltre, Gen non ha fornito indicatori di compromissione (IOC) che potrebbero aiutare le organizzazioni a identificare eventuali attacchi in corso.

Il caso della vulnerabilità CVE-2024-38193 evidenzia la necessità per le aziende di mantenere una vigilanza continua sulle loro infrastrutture e di aggiornare tempestivamente i sistemi di sicurezza: gli attacchi informatici continuano ad evolvere rapidamente in termini di complessità, diventando sempre più insidiosi.

Credit immagine in apertura: Copilot Designer

Ti consigliamo anche

Malware mascherato da documento PDF in Windows: come può accadere
Windows

Malware mascherato da documento PDF in Windows: come può accadere
Nuovo e pericoloso malware agisce disattivando gli antivirus
Vulnerabilità

Nuovo e pericoloso malware agisce disattivando gli antivirus
Patch Tuesday di Microsoft: corretto exploit zero-day che annulla precedenti patch
Vulnerabilità

Patch Tuesday di Microsoft: corretto exploit zero-day che annulla precedenti patch
Patch Microsoft di settembre 2024: le vulnerabilità da correggere subito
Business

Patch Microsoft di settembre 2024: le vulnerabilità da correggere subito
Link copiato negli appunti