Lazarus Group maakt misbruik van de AppLocker-kwetsbaarheid en veroorzaakt ongemerkt schade

Microsoft en zijn diensten worden voortdurend aangevallen op de beveiliging en het bedrijf werkt samen met overheidsinstanties om hun beveiliging te verbeteren.

Helaas voor Microsoft is er weer een zero-day-kwetsbaarheid gevonden en misbruikt door hackers.

Noord-Koreaanse hackers hebben een nieuwe exploit gevonden die beveiligingsfuncties kan uitschakelen

Zoals gemeld door GovInfoSecurity is de hackgroep Lazarus uit Noord-Korea erin geslaagd een kwetsbaarheid in de Windows AppLocker-driver te vinden en te gebruiken.

Door deze exploit te gebruiken, konden ze toegang op kernelniveau verkrijgen en de beveiligingsfuncties van een pc uitschakelen om hun aanwezigheid te verbergen.

De hackers hebben gebruik gemaakt van een onbekende kwetsbaarheid in appid.sys, en deze driver is verantwoordelijk voor het afdwingen van regels waarop applicaties op de pc kunnen worden uitgevoerd.

Dit is een gevaarlijke kwetsbaarheid, en zelfs Microsoft heeft verklaard dat het misbruiken van deze kwetsbaarheid ervoor kan zorgen dat een hacker systeemrechten kan verkrijgen. Nadat ze toegang hadden gekregen, zouden de hackers hun FudModule-rootkit inzetten.

Door deze rootkit te gebruiken, zouden ze verschillende kernelbeveiligingsmechanismen verstoren, waardoor ze konden werken zonder opgemerkt te worden.

Gelukkig heeft Microsoft dit snel verholpen en heeft het deze exploit geïdentificeerd als CVE-2024-21338 , dus zolang je de nieuwste beveiligingsupdates hebt geïnstalleerd, zou je veilig moeten zijn.