Lazarus ha sfruttato appid.sys per eludere le difese di Windows e prendere di mira servizi critici
Il gruppo hacker Lazarus, presumibilmente affiliato al governo nordcoreano, è stato recentemente protagonista di attacchi informatici che hanno sfruttato una vulnerabilità zero-day di Windows. La vulnerabilità identificata come CVE-2024-21338 ha consentito a Lazarus di distribuire un sofisticato rootkit denominato FudModule. Questo rootkit avanzato offre ai malintenzionati un controllo completo sui sistemi compromessi, permettendo loro di nascondere file, processi e attività dannose al fine di agire indisturbati.
Il silenzio di Microsoft per sei mesi
L’approccio non convenzionale di Lazarus ha preso di mira appid.sys, un driver fondamentale per il servizio Windows AppLocker. Questa strategia ha permesso al gruppo di hacker di eludere le difese principali di Windows, inclusi i sistemi Endpoint Detection and Response e Protected Process Light. Tuttavia, ciò che ha suscitato preoccupazione è il ritardo di ben sei mesi nel rilascio della patch da parte di Microsoft, nonostante i ricercatori di Avast avessero segnalato la vulnerabilità zero-day già ad agosto.
L’azienda ha rilasciato la patch solo a febbraio, mantenendo un silenzio assoluto riguardo allo sfruttamento della vulnerabilità e ai dettagli del rootkit utilizzato da Lazarus. Queste informazioni sono emerse pubblicamente solo dopo la divulgazione della violazione da parte di Avast. Questo ritardo ha sollevato interrogativi sulla gestione della situazione da parte di Microsoft, con alcuni esperti definendo l’evento come “un altro errore” che mette a rischio gli utenti di Windows.
I potenziali rischi per gli utenti di Windows
Kevin Beaumont, un ricercatore indipendente, ha evidenziato le potenziali minacce per la sicurezza degli utenti Windows a causa del ritardo nel rilascio della patch. Tuttavia, altri esperti hanno ipotizzato complessità ingegneristiche e fattori tecnici che potrebbero aver contribuito a questa tempistica. In ogni caso, alla luce di questa situazione, gli esperti di sicurezza consigliano agli utenti Windows di dare massima priorità all’installazione della patch per la vulnerabilità, ora che è diventata di dominio pubblico e potrebbe essere sfruttata su vasta scala da attaccanti mirati a sistemi non aggiornati.
La vicenda evidenzia l’importanza della tempestiva gestione delle vulnerabilità da parte delle aziende tech, sottolineando l’urgente necessità di proteggere gli utenti da minacce informatiche sempre più sofisticate.
