CVE-2024-21338：获得内核级访问权限

即使是防御机制也无助于抵御新的黑客方法。

Lazarus 黑客利用 Windows AppLocker 驱动程序中的漏洞在不被发现的情况下获得内核级访问权限并禁用安全控制。

Avast 分析师发现并报告了 Microsoft 黑客的活动，这些活动导致消除了 与权限升级相关的名为CVE-2024-21338 （CVSS 评分：7.8）的 Windows 内核漏洞。不过，微软并未将该漏洞归类为 0day。该错误 已 在二月份的最新补丁星期二更新中 修复。

Lazarus 团队使用 CVE-2024-21338 在其 FudModule rootkit 的更新版本中创建内核读/写原语，该原语 由 ESET 于 2022 年末首次记录。值得注意的是，FudModule采用了BYOVD（Bring Your Own Vulnerable Driver）方法，该方法允许黑客利用设备驱动程序中的漏洞。该缺陷允许网络犯罪分子完全访问内核内存。

新版本的 FudModule 在隐秘性和功能方面引入了重大改进，包括绕过检测和禁用 Microsoft Defender 和 CrowdStrike Falcon 等保护机制的新方法。

该利用方法涉及操纵appid.sys驱动程序中的I/O管理器来调用任意指针，从而绕过安全检查。FudModule rootkit 执行直接内核对象操作 ( DKOM ) 操作来禁用安全产品、隐藏恶意活动并为受感染的系统提供恢复能力。

目标包括安全产品 AhnLab V3 Endpoint Security、Windows Defender、CrowdStrike Falcon 和 HitmanPro 防病毒解决方案。新版本的rootkit具有隐秘特性和高级功能，包括暂停受保护进程、选择性和有针对性地破坏安全系统的能力。

Avast 强调，新的利用策略表明黑客进行隐形攻击和长时间保持对受感染系统的控制的能力发生了重大演变。唯一有效的安全措施是及时应用更新，因为使用内置 Windows 驱动程序使得攻击特别难以检测和阻止。