Microsoft наконец-то устранила очень серьезную уязвимость, о которой, как сообщается, компания знала, что она использовалась в течение как минимум шести месяцев.
Уязвимость, получившая обозначение CVE-2024-21338, была впервые обнаружена исследователями кибербезопасности Avast около шести месяцев назад.
Уязвимость, описанная как уязвимость повышения привилегий ядра Windows, была обнаружена в драйвере appid.sys для Windows AppLocker. Это затронуло несколько версий операционных систем Windows 10 и Windows 11. Он также был обнаружен в Windows Server 2019 и 2022. Патч вторник спешит на помощь
В прошлом году исследователи Avast уведомили Microsoft об уязвимости и заявили, что она используется как уязвимость нулевого дня. С тех пор некоторые из крупнейших и наиболее опасных субъектов угроз в мире активно использовали эту уязвимость, в том числе Северная Корея.
Недавно мы сообщали о Lazarus Group, злоумышленнике, известном своими связями с правительством Северной Кореи, который использует ту же уязвимость для получения доступа на уровне ядра к уязвимым устройствам и отключения антивирусных программ.
Для эксплуатации нулевого дня Lazarus использовала новую версию FudModule, собственного руткита, впервые обнаруженного в конце 2022 года. В предыдущих атаках руткит эксплуатировал драйвер Dell в так называемой атаке «Принеси свой собственный уязвимый драйвер» (BYOVD). . Теперь FudModule стал более незаметным и функциональным, предлагая больше способов избежать обнаружения и отключить решения для защиты конечных точек.
Судя по всему, группа использовала его для отключения таких продуктов, как AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon и антивирусного решения HitmanPro.
Сейчас, по состоянию на середину февраля 2024 года, доступен патч для устранения ошибки. Microsoft также обновила свои рекомендации по уязвимости на прошлой неделе, подтвердив, что уязвимость широко используется. Однако никаких подробностей о нападавших не сообщается. «Чтобы воспользоваться этой уязвимостью, злоумышленнику сначала придется войти в систему. Затем злоумышленник может запустить специально созданное приложение, которое сможет воспользоваться уязвимостью и получить контроль над уязвимой системой», — объясняет Microsoft.
Microsoft посоветовала пользователям установить февральский накопительный пакет обновлений. Через BleepingComputer
Другие работы из Нью-Йорка Брейкинга
Статья добавлена ботом, с использованием машинного перевода : https://nybreaking.com/category/tech/
