Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Lazarus Hackea Windows con Zero-Day y Gana Acceso Total al Kernel

Escrito por Levi Yoris | Feb 29, 2024 11:00:00 PM

El grupo Lazarus ha vuelto a ser noticia tras descubrirse su más reciente hazaña en el campo de la ciberseguridad: la explotación de una vulnerabilidad zero-day en Windows para obtener acceso total al kernel del sistema. Este ataque no solo pone de manifiesto las sofisticadas capacidades técnicas del grupo sino que también enciende las alarmas sobre la importancia de la seguridad informática en nuestra era digital.

A través de este artículo, exploraremos cómo fue posible este ataque, las consecuencias que tiene para usuarios y empresas, y qué medidas podemos tomar para protegernos de amenazas similares en el futuro.

 

El Ataque de Lazarus: Un Vistazo Técnico

 

El grupo norcoreano conocido como Lazarus explotó una vulnerabilidad en el controlador AppLocker de Windows (appid.sys), identificada como un zero-day, para lograr acceso a nivel de kernel y desactivar herramientas de seguridad. Este método les permitió eludir técnicas de inyección de controladores vulnerables conocidas como BYOVD.

Analistas de Avast detectaron esta actividad y notificaron de inmediato a Microsoft, resultando en una corrección incluida en el paquete de actualizaciones de seguridad de febrero de 2024, ahora identificada como CVE-2024-21338. A pesar de esto, Microsoft no ha confirmado oficialmente que la vulnerabilidad fue explotada como un zero-day.

Avast también reveló que Lazarus usó CVE-2024-21338 para mejorar su rootkit FudModule, documentado inicialmente por ESET a finales de 2022, incorporando una primitiva de lectura/escritura en el kernel. Este rootkit había utilizado previamente un controlador de Dell en ataques BYOVD.

La versión actualizada de FudModule mejora en sigilo y funcionalidad, incluyendo técnicas avanzadas para evadir la detección y desactivar protecciones de seguridad como Microsoft Defender y CrowdStrike Falcon.

Al analizar más a fondo la cadena de ataque, Avast descubrió un troyano de acceso remoto (RAT) no documentado previamente, utilizado por Lazarus.

 

Conoce más sobre:  Grupo de Hackers Lazarus: Amenazas Cibernéticas Norcoreanas

 

Explotación Zero-Day por Lazarus

 

El grupo Lazarus capitalizó una falla en 'appid.sys', un controlador de Microsoft esencial para el AppLocker de Windows, diseñado para gestionar listas blancas de aplicaciones. Mediante la manipulación del despachador de Control de Entrada/Salida (IOCTL) en 'appid.sys', lograron ejecutar código arbitrario, eludiendo así los mecanismos de seguridad establecidos.

El rootkit FudModule, desarrollado como parte del exploit, permite realizar manipulaciones directas de los objetos del kernel (DKOM) con el fin de deshabilitar soluciones de seguridad, ocultar sus trazas y asegurar su persistencia en los sistemas infectados.

Entre los objetivos específicos del rootkit se encuentran soluciones de seguridad como AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon y HitmanPro.

La versión más reciente del rootkit FudModule ha incorporado técnicas avanzadas de sigilo y capacidades mejoradas, incluyendo la manipulación de procesos protegidos por Protección de Procesos Ligeros (PPL), la interrupción selectiva mediante DKOM, y estrategias mejoradas para eludir el Enforcement de Firmas de Controladores y el Arranque Seguro, entre otras.

Avast destaca que esta nueva estrategia de explotación representa una evolución crucial en las técnicas de acceso al kernel por parte de Lazarus, permitiéndoles ejecutar ataques más sigilosos y mantenerse en los sistemas afectados por tiempos extendidos.

La aplicación inmediata de las actualizaciones proporcionadas en el paquete de parches de febrero de 2024 es la defensa más efectiva contra este ataque, dada la dificultad de detectar y contrarrestar la explotación de un controlador nativo de Windows por parte de Lazarus.

 

Te podrá interesar:  Explorando los 7 Grupos de Hackers Más Temidos en 2023

 

Medidas de Protección y Recomendaciones

 

Frente a este tipo de amenazas, tanto usuarios individuales como organizaciones deben adoptar medidas proactivas para protegerse:

  1. Actualizaciones de Seguridad: Aplicar todas las actualizaciones y parches de seguridad proporcionados por el fabricante lo más pronto posible.
  2. Herramientas de Seguridad Avanzadas: Utilizar soluciones de seguridad que incluyan detección de comportamiento anómalo y protección contra malware avanzado.
  3. Educación y Concienciación: Capacitar a los usuarios y trabajadores sobre los riesgos de seguridad y las mejores prácticas para evitar ser víctimas de ataques.
  4. Monitorización y Respuesta: Implementar sistemas de monitorización para detectar actividad sospechosa rápidamente y tener un plan de respuesta ante incidentes de seguridad.

Conoce más sobre:  Monitoreo Continuo: Clave para una Ciberseguridad Eficaz

 

Conclusión

 

El ataque perpetrado por el grupo Lazarus explotando una vulnerabilidad zero-day en Windows para obtener privilegios de kernel es un recordatorio de la constante evolución de las amenazas cibernéticas. Este incidente subraya la importancia de mantener sistemas y aplicaciones actualizados, así como la necesidad de invertir en soluciones de ciberseguridad avanzadas, como el SOC como servicio de TecnetOne, y en la formación continua de los usuarios.

La lucha contra los ciberataques es un esfuerzo conjunto que requiere la colaboración entre fabricantes de software, profesionales de la seguridad, empresas y usuarios finales. Solo a través de la vigilancia constante y la adopción de prácticas de seguridad robustas podremos esperar mantener a raya a actores de amenazas tan sofisticados como el grupo Lazarus.