Les pirates ont exploité le problème pour diffuser un rootkit extrêmement furtif
WTF ?! Microsoft a été victime de ses propres politiques, l’entreprise ayant laissé un dangereux problème de sécurité sans solution pendant des mois. Le groupe de hackers nord-coréens connu sous le nom de Lazarus a profité de la situation en obtenant un accès presque illimité au cœur le plus profond de Windows : le noyau.
Depuis six mois, Microsoft était au courant d’une faille de sécurité Zero Day activement exploitée par les pirates. Le gang de cybercriminels Lazarus utilisait cette faille depuis août 2023 pour installer un rootkit appelé FudModule.
Selon les chercheurs d’Avast, FudModule est un malware exceptionnellement furtif et avancé, mais Microsoft a rendu la vie des pirates beaucoup plus facile en traitant essentiellement cette faille dangereuse comme un non-problème.
Le bogue, suivi par Microsoft sous le numéro CVE-2024-21338, est une vulnérabilité d’élévation de privilèges du noyau Windows. En théorie, des utilisateurs malveillants disposant d’un accès administratif pourraient exploiter cette vulnérabilité pour interagir facilement avec le noyau du système d’exploitation. Les politiques officielles de Microsoft sur les critères de service de sécurité stipulent que ce type de problème « de l’administrateur au noyau » ne constitue pas une limite de sécurité, ce qui signifie que l’entreprise ne se précipitera probablement pas pour résoudre le bogue de si tôt.
Avast déclare que l’obtention d’un accès illimité au noyau est le « Saint Graal » de tout rootkit, une menace furtive généralement conçue pour contourner les mesures de sécurité du système d’exploitation sans fournir de signes directs de ses actions. L’accès au noyau peut être obtenu en exploitant les vulnérabilités connues des pilotes tiers, une approche connue sous le nom de BYOVD (Bring Your Own Vulnerable Driver).
BYOVD est une technique « bruyante » qui peut être interceptée et contrecarrée par les utilisateurs ou les protections de sécurité, selon Avast. La faille CVE-2024-21338 réside cependant dans le pilote de service AppLocker natif de Windows (appid.sys).
Grâce au CVE-2024-21338 et à la négligence de Microsoft à résoudre correctement le problème, le rootkit FudModule a fourni aux pirates de Lazarus un moyen de faire essentiellement tout ce qu’ils voulaient sur un système Windows. Le malware pourrait facilement contourner les mesures de sécurité, masquer complètement les signes de ses actes malveillants (fichiers disque, processus de mémoire, activité réseau, etc.), et bien plus encore.
Microsoft a finalement publié un correctif pour corriger CVE-2024-21338 en février 2024, mais le bulletin de sécurité d’origine ne fournissait aucune information pertinente sur l’étendue réelle et le danger du problème. Après qu’Avast ait publiquement révélé la vulnérabilité 15 jours plus tard, Microsoft a apparemment été contraint de mettre à jour son bulletin.
Les experts en sécurité ont désormais des positions contradictoires sur le comportement de Redmond avec CVE-2024-21338. Le chercheur indépendant Kevin Beaumont a déclaré qu’avoir « la plus grande capitalisation boursière au monde » fournirait probablement suffisamment de fonds pour investir correctement dans la sécurité, tandis que Will Dormann (Analygence) a déclaré que Microsoft aurait pu avoir une « très bonne raison » (ou des priorités d’ingénierie différentes). ) pour reporter de six mois le patch CVE-2024-21338.