Microsoft heeft onlangs een admin-to-kernel kwetsbaarheid in Windows gerepareerd, pas een half jaar nadat security-experts van Avast het probleem onder de aandacht brachten van het technologieconcern.
De zero day-exploit is actief gebruikt door hackers van de Lazarus Group, gelieerd aan de Noord-Koreaanse regering. Het betreft de driver appid.sys voor AppLocker, die software whitelist die in Windows is ingebouwd.
Hoewel Avast de kwetsbaarheid al een half jaar geleden meldde bij Microsoft, heeft het bedrijf deze pas tijdens de Patch Tuesday-update van afgelopen februari gerepareerd. Daarbij kreeg het als code CVE-2024-21338 mee. Aanvankelijk bleef onvermeld dat de kwetsbaarheid daadwerkelijk is geëxploiteerd, maar deze informatie is later toegevoegd nadat Avast zelf over de exploit berichtte.
Tip: Patch Tuesday-update installeert maar voor 96 procent op Windows 11
Volgens Avast kon Lazarus Group de admin-to-kernel kwetsbaarheid inzetten om lees- en schrijfrechten te verkrijgen voor de Windows-kernel en hun FudModule-rootkit installeren. Zo verbergen ze bestanden en processen voor het besturingssysteem en krijgen ze tegelijk een hoge mate van controle over datzelfde systeem. Dat kan betekenen dat beveiligingssoftware wordt omzeild en kritieke processen gesaboteerd zonder dat Windows dit opmerkt.
‘Heilige graal’ onder de exploits
De exploit van Lazarus speelt het klaar om ongedetecteerd te interacteren met de kernel, het gedeelte van een OS dat de meest gevoelige processen beheert. Om dergelijke malware te laten werken, is het allereerst noodzakelijk dat hackers administrator-rechten verkrijgen in een geïnfecteerde pc. Deze horde was door Lazarus en andere hackersgroepen de afgelopen jaren al succesvol genomen.
Nieuw aan deze exploit is dat de hackers geen eigen kwetsbare driver gebruikten (BYOVD, ofwel ‘bring your own vulnerable driver), maar rechtstreeks gebruik maakten van een kwetsbaarheid van een reeds aanwezige driver. Avast noemt dit de ‘heilige graal’ onder de kwetsbaarheden omdat de kans veel kleiner is dat beveiligingssystemen dit opmerken.
Microsoft ziet dergelijke admin-to-kernel kwetsbaarheden niet als zijn verantwoordelijkheid. Dat komt omdat het bedrijf administrators en hun werkzaamheden ziet als onderdeel van de Trusted Computing Base (TCB). Dat staat de lezen in de Security Service criteria van het bedrijf. Met andere woorden: het is de taak van de administrator om dergelijke kwetsbaarheden te signaleren en op te lossen. Desondanks is de exploit uiteindelijk dus toch door Microsoft zelf gepatcht.
Lees ook: Windows 11 Enterprise-update richt zich op Windows Autopatch