Bendrovė “Microsoft” neseniai ėmėsi veiksmų, kad išspręstų svarbią “Windows” problemą, apie kurią buvo pranešta prieš šešis mėnesius. Praėjusį mėnesį technologijų milžinė išleido pataisą, skirtą pažeidžiamumui CVE-2024-21338, leidžiančiam padidinti naudotojo privilegijas “Windows” operacinėje sistemoje.
Pasak “Avast”, ją aktyviai išnaudojo Šiaurės Korėjos programišiai, susiję su grupe “Lazarus”. Pažeidžiamumas buvo susijęs su “AppLocker” programos tvarkykle appid.sys.
Kodėl tai buvo pavojinga?
Ši spraga leido užpuolikams, turintiems prieigą prie sistemos, pakelti savo privilegijas iki SISTEMOS be jokios sąveikos su auka. Pažeidžiamumas paveikė įrenginius, kuriuose veikia įvairios “Windows” versijos, įskaitant “Windows 11“, “Windows 10“, “Windows Server 2022” ir “Windows Server 2019”.
Bendrovė “Avast” paaiškino, kad, norėdami pasinaudoti CVE-2024-21338, įsilaužėliai turėjo prisijungti prie sistemos ir tada paleisti specialiai sukurtą programą, skirtą pažeidžiamumui išnaudoti ir įrenginio valdymui perimti.
Nepaisant to, kad pataisa buvo išleista praėjusio mėnesio viduryje, “Microsoft” tik prieš kelias dienas atnaujino savo palaikymo puslapį ir patvirtino, kad pažeidžiamumas buvo išnaudotas.
Remiantis “Avast” išvadomis, “Lazarus” grupė pažeidžiamumą išnaudojo bent jau nuo praėjusių metų rugpjūčio. Naudodamiesi šia klaida įsilaužėliai galėjo įgyti branduolio lygmens privilegijų ir išjungti užkrėstų sistemų apsaugos mechanizmus. Vėliau jie į pažeistas sistemas tyliai įskiepijo šaknų rinkinį “FudModule”, kuris leido atlikti įvairias manipuliacijas su branduolio objektais.
Šaltinis: Tweak Town