Avast a identifié des informations sur une vulnérabilité zero-day exploitée en temps réel par le groupe Lazarus. Cette attaque cible une faille dans le pilote Windows appid.sys (CVE-2024-21338), permettant aux assaillants de déployer un rootkit sophistiqué et discret appelé « FudModule ».
Cette vulnérabilité, dissimulée dans les profondeurs du pilote AppLocker « appid.sys » et répertoriée sous le CVE-2024-21338, s’est révélée être une puissante faille d’élévation de privilèges du noyau Windows, obtenant une note de 7,8 sur l’échelle CVSS. L’exploit exigeait un accès initial au système, à partir duquel un attaquant pourrait lancer une application spécifiquement conçue pour exploiter cette faille. L’objectif était d’acquérir les privilèges SYSTÈME, représentant une menace majeure susceptible de conférer à un attaquant un contrôle illimité sur un système affecté.
La détection proactive par Avast et la création d’un exploit de preuve de concept (PoC) personnalisé en août 2023, suivi d’un rapport opportun à Microsoft, mettent en lumière l’importance cruciale de la collaboration en cybersécurité. Ce partenariat a conduit à un avis exhaustif lors de la mise à jour du Patch Tuesday de février, intégrant une vérification ExGetPreviousMode dans le gestionnaire IOCTL pour atténuer la vulnérabilité.
Microsoft a émis une correction lors du Patch Tuesday de février 2024. Bien que non initialement classé comme jour zéro, une mise à jour ultérieure le 28 février a confirmé son exploitation active dans la nature.
En savoir plus sur : Securityonline.info