Lazarus Group exploite la vulnérabilité AppLocker, causant des ravages non détectés

Microsoft et ses services font constamment l’objet d’attaques de sécurité et l’ entreprise collabore avec des agences gouvernementales pour améliorer leur sécurité.

Malheureusement pour Microsoft, une autre vulnérabilité zero-day a été découverte et exploitée par des pirates.

Les pirates nord-coréens ont découvert un autre exploit capable de désactiver les fonctionnalités de sécurité.

Tel que rapporté par GovInfoSecurity , le groupe de piratage Lazarus de Corée du Nord a réussi à trouver et à utiliser une vulnérabilité dans le pilote Windows AppLocker.

En utilisant cet exploit, ils ont pu obtenir un accès au niveau du noyau et désactiver les fonctionnalités de sécurité d’un PC pour masquer leur présence.

Les pirates ont utilisé une vulnérabilité inconnue dans appid.sys, et ce pilote est chargé d’appliquer les règles sur lesquelles les applications peuvent s’exécuter sur le PC.

Il s’agit d’une vulnérabilité dangereuse, et même Microsoft a déclaré que l’exploitation de cette vulnérabilité pourrait permettre à un pirate informatique d’obtenir des privilèges système. Après avoir obtenu l’accès, les pirates déployaient leur rootkit FudModule.

En utilisant ce rootkit, ils perturberaient divers mécanismes de sécurité du noyau, se permettant ainsi d’opérer sans être détectés.

Heureusement, Microsoft n’a pas tardé à résoudre ce problème et a identifié cet exploit comme CVE-2024-21338 , donc tant que les dernières mises à jour de sécurité sont installées, vous devriez être en sécurité.