PoC Exploit Released for 0-day Windows Kernel Elevation of Privilege Vulnerability (CVE-2024-21338)
2024/04/15 SecurityOnline — 国家に支援される北朝鮮のハッキンググループ Lazarus が悪用した、危険なゼロデイ脆弱性 CVE-2024-21338 の技術的詳細と概念実証 PoC エクスプロイトコードが、最近になってセキュリティ研究者たちから公開された。この脆弱性は Windows カーネル自体に存在し、攻撃者に対してシステムレベルでの制御を許し、セキュリティ・ツールの無効化も可能となる。
この脆弱性を悪用する Lazarus グループは、FudModule ルートキットの更新版を介して、読み書き可能なカーネル・プリミティブを作成した。この悪意のソフトウェアは、以前の BYOVD (Bring Your Own Vulnerable Driver) 攻撃で、Dell のドライバを悪用していたものである。
そして、今回の悪用の方法は、能力を高めた BYOVD 検出テクニックを回避し、カーネル・レベルへのアクセスの達成を可能にしている。このアクセスは、Microsoft Defender や CrowdStrike Falcon などの、著名なセキュリティ・ツールを無効化するために使用され、それらに検出されることなく、悪意のアクティビティを促進した。
Avast の分析により、FudModule の新バージョンにおいては、ステルス性と機能性が大幅に強化されていることが明らかになった。現時点において、このルートキットは、ハンドルテーブルのエントリを操作することで、Protected Process Light (PPL) により保護されるプロセスを、一時的に停止する機能を備えている。また、DKOM を介した選択的な破壊戦略も備えており、Driver Signature Enforcement および Secure Boot メカニズムの改ざん手法も改良されている。
Avast における初期の分析に続き、2024年3月に研究者である Nero22k は、Windowsカーネルの脆弱性 CVE-2024-21338 に対して、PoC エクスプロイトコードを公開した。さらに、Hakai Security の Rafael Felix も、この欠陥に関する技術的詳細 と PoCエクスプロイトを発表していた。
このエクスプロイトでは、”appid.sys” ドライバの入出力制御 (IOCTL) ディスパッチャを操作して、任意のポインタを呼び出すことが可能だ。この動作は、カーネルを欺き、安全でないコードを実行させ、内蔵のセキュリティ・チェックを効果的に回避するものだ。この脆弱性の範囲内で、FudModule ルートキットは、セキュリティ製品を無効化し、その活動を隠蔽する。そして、感染したシステム上で持続性を確保するために、直接的なカーネル・オブジェクト操作 (DKOM:direct kernel object manipulation) を行う。
組織および個人のユーザーにとって、このエクスプロイトに対する直接的かつ、最も効果的な防御策は、February 2024 Patch Tuesday で Microsoft がリリースした、更新プログラムを適用することである。これらのパッチを適用し、システムを最新状態に維持することが、脆弱性へのドア閉じ、同じ性質を持つエクスプロイトを防ぐためにも、きわめて重要である。
Windows に存在する、ちょっと古い CVE-2024-21338 は、あの Lazarus に悪用された、とても危険な脆弱性です。その CVE-2024-21338 に、PoC エクスプロイト・コードが登場しましたので、2024年2月の月例パッチが当たっていることを、ご確認ください。よろしければ、Lazarus で検索と併せて、以下のリンクもご参照ください。
CISA KEV 警告 24/03/05:Windows Kernel の脆弱性 CVE-2024-21338 を追加
Microsoft のゼロデイ CVE-2024-21338:Lazarus の Rootkit 攻撃で悪用される
IoT OT Security News 
You must be logged in to post a comment.