Pohjoiskorealaisiksi uhkatoimijoiksi tunnetut Lazarus-ryhmän jäsenet hyödynsivät Windows AppLocker -ajurin (appid.sys) virhettä nollapäivähaavoittuvuutena saadakseen ytimen tasolle pääsyn ja kytkeäkseen turvallisuustyökalut pois päältä, mahdollistaen heidän ohittaa meluisat BYOVD (Bring Your Own Vulnerable Driver) -tekniikat.
Tämän toiminnan havaitsivat Avastin analyytikot, jotka välittömästi raportoivat siitä Microsoftille, johtaen virheen korjaamiseen, joka nyt seurataan tunnisteella CVE-2024-21338, osana helmikuun 2024 Patch Tuesdayta. Microsoft ei kuitenkaan ole merkinnyt virhettä nollapäiväksi hyödynnetyksi.
Avast raportoi, että Lazarus hyödynsi CVE-2024-21338:aa luodakseen luku/kirjoitus-ytimen primitiivin päivitetyssä versiossaan FudModule-juurikittiästä, jonka ESET ensin dokumentoi vuoden 2022 lopulla. Aiemmin juurikitti hyödynsi Dell-ajuria BYOVD-hyökkäyksiin.
North Korean threat actors known as the Lazarus Group exploited a flaw in the Windows AppLocker driver (appid.sys) as a zero-day to gain kernel-level access and turn off security tools, allowing them to bypass noisy BYOVD (Bring Your Own Vulnerable Driver) techniques. This activity was detected by Avast analysts, who promptly reported it to Microsoft, leading to a fix for the flaw, now tracked as CVE-2024-21338, as part of the February 2024 Patch Tuesday. However, Microsoft has not marked the flaw as being exploited as a zero-day. Avast reports that Lazarus exploited CVE-2024-21338 to create a read/write kernel primitive in an updated version of its FudModule rootkit, which ESET first documented in late 2022. Previously, the rootkit abused a Dell driver for BYOVD attacks.
