导读 微软终于解决了一个高严重性漏洞,据报道该公司知道该漏洞至少被利用了半年。该漏洞编号为CVE-2024-21338,大约六个月前由Avast的网络安全...
微软终于解决了一个高严重性漏洞,据报道该公司知道该漏洞至少被利用了半年。
该漏洞编号为CVE-2024-21338,大约六个月前由Avast的网络安全研究人员首次发现。
该漏洞被描述为Windows内核特权提升漏洞,是在appid.sysWindowsAppLocker驱动程序中发现的。它影响了Windows10和Windows11操作系统的多个版本。它也出现在WindowsServer2019和2022中。
去年,Avast的研究人员向微软通报了该漏洞,称该漏洞被用作零日漏洞。自那时起,世界上一些最大、最危险的威胁行为者一直在积极利用该漏洞,其中包括人。
我们最近报道了据称与政府有联系的威胁行为者LazarusGroup,该组织利用同一漏洞获取易受攻击设备的内核级访问权限并禁用防病程序。
为了利用这个零日漏洞,Lazarus使用了FudModule的新版本,这是其专有的rootkit,于2022年底首次被发现。在之前的攻击中,rootkit滥用了戴尔驱动程序,即所谓的自带易受攻击驱动程序(BYOVD)攻击。现在,FudModule更加隐蔽,功能更强大,提供了更多避免被检测到和关闭端点保护解决方案的方法。
显然,该组织利用它来禁用AhnLabV3EndpointSecurity、WindowsDefender、CrowdStrikeFalcon和HitmanPro反恶意软件解决方案等产品。