RA2TR
80+ Bronze
- Katılım
- 17 Ocak 2024
- Mesajlar
- 1,402
- Reaksiyon skoru
- 482
Daha önceki gönderilerimde Lazarus Grubunun Windows Kerneline sızdığı ve açıklar sayesinde kök yetki dediğimiz en yüksek düzey yetki alarak antivirusleri atlattığından bahsetmiştim.
Güvenlik araştırmacıları , yakın zamanda devlet destekli Kuzey Kore bilgisayar korsanlığı grubu Lazarus tarafından istismar edilen tehlikeli sıfır gün CVE-2024-21338 güvenlik açığının teknik ayrıntılarını ve kavram kanıtını (PoC) kullanma kodunu yayınladı . Bu kusur Windows çekirdeğinin kendisinde yer alıyor ve saldırganların sistem düzeyinde derin kontrol elde etmesine ve güvenlik araçlarını devre dışı bırakmasına olanak tanıyor.
Bilgi Güvenliğindeki Zafiyetler
Lazarus Grubu, daha önce Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırılarında Dell sürücüsünü kullandığı bilinen kötü amaçlı bir yazılım olan FudModule rootkit'in güncellenmiş bir sürümü aracılığıyla bir okuma/yazma çekirdeği oluşturmak için bu güvenlik açığından yararlandı. Bu yeni yararlanma yöntemi, daha tespit edilebilir BYOVD tekniklerini atlayarak çekirdek düzeyinde erişim elde etmelerine olanak tanıdı. Bu erişim, Microsoft Defender ve CrowdStrike Falcon gibi önde gelenler de dahil olmak üzere güvenlik araçlarını devre dışı bırakmak ve böylece tespit edilmeden daha fazla kötü amaçlı faaliyetin yapılmasını kolaylaştırmak için kullanıldı.
Avast'ın analizi, FudModule'ün yeni sürümünün gizliliğinde ve işlevselliğinde önemli gelişmeler olduğunu ortaya çıkardı . Rootkit artık tanıtıcı tablosu girişlerini değiştirerek Korumalı İşlem Işığı (PPL) tarafından korunan işlemleri askıya alma yeteneklerini içeriyor. Ayrıca DKOM aracılığıyla seçici kesinti stratejileri de içerir ve Sürücü İmzası Uygulaması ve Güvenli Önyükleme mekanizmalarını kurcalamak için geliştirilmiş yöntemlere sahiptir.
Avast'ın ilk analizinin ardından araştırmacı Nero22k şunları yayınladı:Geçen ay Windows Çekirdeği güvenlik açığına (CVE-2024-21338) yönelik bir PoC yararlanma kodu. Hakai Güvenlik'ten Rafael Felix teknik ayrıntıları yayınladı ve bir kavram kanıtıbu kusur için.
CVE-2024-21338 PoC'den yararlanma
appid.sys Bu istismar , isteğe bağlı bir işaretçiyi çağırmak için sürücüdeki Giriş ve Çıkış Kontrolü (IOCTL) dağıtıcısının manipüle edilmesini içeriyor . Bu eylem, yerleşik güvenlik kontrollerini etkili bir şekilde atlayarak çekirdeği güvenli olmayan kod çalıştırmaya yönlendirir. Bu güvenlik açığının kapsamı dahilinde FudModule rootkit'i, güvenlik ürünlerini devre dışı bırakmak, etkinliklerini gizlemek ve virüslü sistemlerde kalıcılığını sağlamak için doğrudan çekirdek nesne manipülasyonu (DKOM) gerçekleştirir.
Kuruluşlar ve bireysel kullanıcılar için bu istismara karşı acil ve en etkili savunma, Microsoft'un Salı günü Şubat 2024 Yaması'nda yayınladığı güncellemeleri uygulamaktır. Sistemlerin bu yamalarla güncel olmasını sağlamak, güvenlik açığı penceresini kapatacağı ve aynı nitelikteki potansiyel istismarları önleyeceği için çok önemlidir.
K: https://securityonline.info/poc-exp...on-of-privilege-vulnerability-cve-2024-21338/
Güvenlik araştırmacıları , yakın zamanda devlet destekli Kuzey Kore bilgisayar korsanlığı grubu Lazarus tarafından istismar edilen tehlikeli sıfır gün CVE-2024-21338 güvenlik açığının teknik ayrıntılarını ve kavram kanıtını (PoC) kullanma kodunu yayınladı . Bu kusur Windows çekirdeğinin kendisinde yer alıyor ve saldırganların sistem düzeyinde derin kontrol elde etmesine ve güvenlik araçlarını devre dışı bırakmasına olanak tanıyor.
Bilgi Güvenliğindeki Zafiyetler
Lazarus Grubu, daha önce Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırılarında Dell sürücüsünü kullandığı bilinen kötü amaçlı bir yazılım olan FudModule rootkit'in güncellenmiş bir sürümü aracılığıyla bir okuma/yazma çekirdeği oluşturmak için bu güvenlik açığından yararlandı. Bu yeni yararlanma yöntemi, daha tespit edilebilir BYOVD tekniklerini atlayarak çekirdek düzeyinde erişim elde etmelerine olanak tanıdı. Bu erişim, Microsoft Defender ve CrowdStrike Falcon gibi önde gelenler de dahil olmak üzere güvenlik araçlarını devre dışı bırakmak ve böylece tespit edilmeden daha fazla kötü amaçlı faaliyetin yapılmasını kolaylaştırmak için kullanıldı.
Avast'ın analizi, FudModule'ün yeni sürümünün gizliliğinde ve işlevselliğinde önemli gelişmeler olduğunu ortaya çıkardı . Rootkit artık tanıtıcı tablosu girişlerini değiştirerek Korumalı İşlem Işığı (PPL) tarafından korunan işlemleri askıya alma yeteneklerini içeriyor. Ayrıca DKOM aracılığıyla seçici kesinti stratejileri de içerir ve Sürücü İmzası Uygulaması ve Güvenli Önyükleme mekanizmalarını kurcalamak için geliştirilmiş yöntemlere sahiptir.
Avast'ın ilk analizinin ardından araştırmacı Nero22k şunları yayınladı:Geçen ay Windows Çekirdeği güvenlik açığına (CVE-2024-21338) yönelik bir PoC yararlanma kodu. Hakai Güvenlik'ten Rafael Felix teknik ayrıntıları yayınladı ve bir kavram kanıtıbu kusur için.
CVE-2024-21338 PoC'den yararlanma
appid.sys Bu istismar , isteğe bağlı bir işaretçiyi çağırmak için sürücüdeki Giriş ve Çıkış Kontrolü (IOCTL) dağıtıcısının manipüle edilmesini içeriyor . Bu eylem, yerleşik güvenlik kontrollerini etkili bir şekilde atlayarak çekirdeği güvenli olmayan kod çalıştırmaya yönlendirir. Bu güvenlik açığının kapsamı dahilinde FudModule rootkit'i, güvenlik ürünlerini devre dışı bırakmak, etkinliklerini gizlemek ve virüslü sistemlerde kalıcılığını sağlamak için doğrudan çekirdek nesne manipülasyonu (DKOM) gerçekleştirir.
Kuruluşlar ve bireysel kullanıcılar için bu istismara karşı acil ve en etkili savunma, Microsoft'un Salı günü Şubat 2024 Yaması'nda yayınladığı güncellemeleri uygulamaktır. Sistemlerin bu yamalarla güncel olmasını sağlamak, güvenlik açığı penceresini kapatacağı ve aynı nitelikteki potansiyel istismarları önleyeceği için çok önemlidir.
K: https://securityonline.info/poc-exp...on-of-privilege-vulnerability-cve-2024-21338/
Son düzenleme:
