2月修复的 Windows 内核错误被用作零日漏洞

微软在 2 月份修补了一个高严重性的 Windows 内核特权升级漏洞，并被告知该漏洞正被作为零日漏洞利用。

该安全漏洞的编号为CVE-2024-21338，由 Avast 高级恶意软件研究员在 appid.sys Windows AppLocker 驱动程序中发现。

该漏洞影响运行多个版本的 Windows 10 和 Windows 11（包括最新版本）以及 Windows Server 2019 和 2022 的系统。

微软解释说，成功利用该漏洞使本地攻击者能够在不需要用户交互的低复杂性攻击中获得系统权限。“要利用此漏洞，攻击者首先必须登录系统。然后攻击者可以运行特制的应用程序，该应用程序可以利用此漏洞并控制受影响的系统，”

该公司已于 2 月 13 日修补了该漏洞，并于 2 月 28 日更新了通报，以确认 CVE-2024-21338 已在野外被利用，但没有透露有关攻击的任何细节。

该零日漏洞被利用

有黑客至少从 2023 年 8 月起就一直在利用该漏洞作为零日攻击，以获得内核级访问权限并关闭安全工具，从而使他们能够避免使用更容易的检测 BYOVD（自带易受攻击的驱动程序）技术。“从攻击者的角度来看，从管理到内核的跨越开启了一个全新的可能性领域。通过内核级访问，攻击者可能会破坏安全软件、隐藏感染迹象（包括文件、网络活动、进程等）、禁用内核模式遥测、关闭缓解措施等等。”

此外，由于 PPL（受保护进程轻量级）的安全性依赖于管理到内核边界，攻击者获得了篡改受保护进程或为任意进程添加保护的能力。如果 lsass受到 RunAsPPL 的保护，绕过 PPL 可能使攻击者能够转储其他无法访问的凭据。

Lazarus 利用该缺陷建立了内核读/写原语，使更新的 FudModule rootkit 版本能够执行直接内核对象操作。

这个新的 FudModule 版本具有显著的隐蔽性和功能改进，包括用于逃避检测和关闭 AhnLab V3 Endpoint Security、Windows Defender、CrowdStrike Falcon 和 HitmanPro 安全保护以及更新的 Rootkit 技术。

在分析攻击时，还发现了 Lazarus 使用的一种以前未知的远程访问木马 (RAT) 恶意软件，该恶意软件将成为4 月份BlackHat Asia演示的焦点。

“由于管理到内核的零日漏洞现已被烧毁，Lazarus 面临着重大挑战。他们要么发现新的零日漏洞，要么恢复到旧的 BYOVD 技术，”相关人员说道。

建议Windows用户尽快安装2024年2月补丁星期二更新，以阻止Lazarus的CVE-2024-21338攻击。