مايكروسوفت تصلح ثغرة Zero-Day التي استغلتها مجموعة Lazarus الكورية الشمالية

19 أغسطس 2024رافي لاكشمانانالضعف / يوم الصفر

تم استغلال ثغرة أمنية تم تصحيحها حديثًا في نظام التشغيل Microsoft Windows باعتبارها ثغرة يوم الصفر من قبل مجموعة Lazarus Group، وهي جهة فاعلة غزيرة الإنتاج ترعاها الدولة تابعة لكوريا الشمالية.

تم تتبع الثغرة الأمنية باسم CVE-2024-38193 (درجة CVSS: 7.8)، تم وصفه على أنه خطأ تصعيد الامتيازات في برنامج تشغيل الوظائف المساعدة لـ Windows (AFD.sys) لـ WinSock.

“يمكن للمهاجم الذي نجح في استغلال هذه الثغرة الأمنية أن يحصل على امتيازات النظام،” Microsoft قال في استشارة للخلل الأسبوع الماضي. تمت معالجة هذه المشكلة من قبل عملاق التكنولوجيا كجزء من تحديث التصحيح الشهري الخاص به يوم الثلاثاء.

يرجع الفضل في اكتشاف الخلل والإبلاغ عنه إلى الباحثين في شركة Gen Digital لويجينو كاماسترا وميلانيك. تمتلك شركة Gen Digital عددًا من العلامات التجارية لبرامج الأمان والمرافق مثل Norton وAvast وAvira وAVG وReputationDefender وCCleaner.

“لقد سمح لهم هذا الخلل بالوصول غير المصرح به إلى مناطق النظام الحساسة” ، الشركة تم الكشف عنها وأضافت الشركة الأسبوع الماضي أنها اكتشفت الاستغلال في أوائل يونيو 2024. وأضافت: “سمحت الثغرة الأمنية للمهاجمين بتجاوز القيود الأمنية العادية والوصول إلى مناطق النظام الحساسة التي لا يستطيع معظم المستخدمين والمسؤولين الوصول إليها”.

وأشار بائع الأمن السيبراني أيضًا إلى أن الهجمات اتسمت باستخدام برنامج rootkit يسمى FudModule في محاولة لتجنب الكشف.

في حين أن التفاصيل الفنية الدقيقة المرتبطة بالتطفلات غير معروفة حاليًا، فإن الثغرة الأمنية تذكرنا بتصعيد آخر للامتيازات قامت Microsoft بإصلاحه في فبراير 2024 وتم تسليحه أيضًا بواسطة Lazarus Group لإسقاط FudModule.

على وجه التحديد، استلزم الأمر استغلال CVE-2024-21338 (درجة CVSS: 7.8)، وهو ثغرة في تصعيد امتيازات Windows kernel متجذرة في برنامج تشغيل AppLocker (appid.sys) الذي يجعل من الممكن تنفيذ تعليمات برمجية عشوائية بحيث تتجنب جميع عمليات التحقق الأمني ويقوم بتشغيل برنامج FudModule rootkit.

كلا هذين الهجومين ملحوظان لأنهما يتجاوزان الهجوم التقليدي “إحضار برنامج التشغيل الضعيف الخاص بك” (BYOVD) من خلال الاستفادة من ثغرة أمنية في برنامج التشغيل المثبت بالفعل على مضيف Windows بدلاً من “إحضار” برنامج تشغيل ضعيف واستخدامه لـ تجاوز التدابير الأمنية.

كشفت الهجمات السابقة التي قامت شركة الأمن السيبراني Avast بالتفصيل عنها أن برنامج rootkit يتم تسليمه عن طريق حصان طروادة للوصول عن بعد المعروف باسم Kaolin RAT.

وقالت الشركة التشيكية في ذلك الوقت: “لم يتم دمج FudModule إلا بشكل فضفاض في بقية النظام البيئي للبرامج الضارة الخاص بـ Lazarus”، مشيرة إلى أن “Lazarus حريص جدًا على استخدام برنامج rootkit، ولا ينشره إلا عند الطلب في ظل الظروف المناسبة”.