Lazarus Group sfrutta la vulnerabilità di AppLocker, provocando danni senza che nessuno venga rilevato

Microsoft e i suoi servizi sono costantemente sottoposti ad attacchi alla sicurezza e l’ azienda collabora con agenzie governative per migliorare la propria sicurezza.

Sfortunatamente per Microsoft, un’altra vulnerabilità zero-day è stata trovata e sfruttata dagli hacker.

Gli hacker nordcoreani hanno trovato un altro exploit in grado di disattivare le funzionalità di sicurezza

Come riportato da GovInfoSecurity , il gruppo di hacker Lazarus della Corea del Nord è riuscito a trovare e sfruttare una vulnerabilità nel driver di Windows AppLocker.

Utilizzando questo exploit, sono riusciti a ottenere l’accesso a livello di kernel e a disattivare le funzionalità di sicurezza di un PC per nascondere la propria presenza.

Gli hacker hanno utilizzato una vulnerabilità sconosciuta in appid.sys e questo driver è incaricato di applicare le regole su quali applicazioni possono essere eseguite sul PC.

Questa è una vulnerabilità pericolosa e persino Microsoft ha affermato che lo sfruttamento di questa vulnerabilità potrebbe consentire a un hacker di ottenere privilegi di sistema. Dopo aver ottenuto l’accesso, gli hacker avrebbero distribuito il loro rootkit FudModule.

Utilizzando questo rootkit, interromperebbero vari meccanismi di sicurezza del kernel permettendo così a se stessi di operare senza essere rilevati.

Fortunatamente, Microsoft ha risolto rapidamente questo problema e ha identificato questo exploit come CVE-2024-21338 , quindi finché hai installato gli ultimi aggiornamenti di sicurezza, dovresti essere al sicuro.