Lazarus Group explora a vulnerabilidade do AppLocker, causando estragos sem ser detectado

A Microsoft e os seus serviços estão constantemente sob ataques de segurança e a empresa está a colaborar com agências governamentais para melhorar a sua segurança.

Infelizmente para a Microsoft, outra vulnerabilidade de dia zero foi encontrada e explorada por hackers.

Hackers norte-coreanos encontraram outra exploração que pode desabilitar recursos de segurança

Conforme relatado por GovInfoSecurity , o grupo de hackers Lazarus da Coreia do Norte conseguiu encontrar e usar uma vulnerabilidade no driver Windows AppLocker.

Ao usar essa exploração, eles conseguiram obter acesso no nível do kernel e desativar os recursos de segurança de um PC para ocultar sua presença.

Os hackers usaram uma vulnerabilidade desconhecida no appid.sys, e este driver é responsável por fazer cumprir as regras sobre quais aplicativos podem ser executados no PC.

Esta é uma vulnerabilidade perigosa, e até a Microsoft afirmou que a exploração desta vulnerabilidade poderia permitir que um hacker obtivesse privilégios de sistema. Depois de obter acesso, os hackers implantariam seu rootkit FudModule.

Ao usar esse rootkit, eles interromperiam vários mecanismos de segurança do kernel, permitindo-se operar sem serem detectados.

Felizmente, a Microsoft foi rápida em corrigir isso e identificou essa exploração como CVE-2024-21338 , portanto, contanto que você tenha as atualizações de segurança mais recentes instaladas, você estará seguro.