La sicurezza informatica mondiale è nuovamente all’erta dopo che il noto gruppo di hacker nordcoreano Lazarus ha sfruttato una vulnerabilità zero-day nel driver AFD.sys di Windows. Questo errore di sicurezza ha consentito ai cybercriminali di elevare i privilegi e installare il rootkit FUDModule su sistemi mirati. Microsoft ha rilasciato una patch per questo problema critico durante il suo Patch Tuesday di agosto 2024, affrontando anche altre vulnerabilità significative.
vulnerabilità CVE-2024-38193: un attacco di grande portata
La natura della vulnerabilità
La vulnerabilità CVE-2024-38193 è stata classificata come un attacco “Bring Your Own Vulnerable Driver” , che implica che gli aggressori installino driver con vulnerabilità note su macchine mirate per ottenere privilegi a livello di kernel. Questa specifica vulnerabilità interessa il driver AFD.sys, parte integrante del protocollo Winsock in Windows, e rappresenta un punto d’accesso diretto al kernel di Windows. La sua scoperta è attribuita ai ricercatori di Gen Digital, che hanno segnalato come questa vulnerabilità abbia permesso al gruppo Lazarus di installare un malware altamente evasivo, il FUDModule.
Implicazioni per la sicurezza
Ciò che rende questa vulnerabilità particolarmente critica è il fatto che AFD.sys è un driver preinstallato su tutti i dispositivi Windows. Questo significa che gli attaccanti possono condurre attacchi senza la necessità di installare driver obsoleti e vulnerabili, generalmente bloccati da Windows e più facili da rilevare. La diretta conseguenza è un notevole aumento del rischio per gli utenti di sistemi Windows, che possono trovarsi esposti a intrusioni senza nemmeno rendersi conto della presenza di un software dannoso.
le operazioni del gruppo lazarus: un profilo di hacker altamente specializzati
Obiettivi e attività note
Sebbene Gen Digital non abbia rivelato dettagli specifici sui bersagli e le tempistiche degli attacchi, il gruppo Lazarus è noto per il suo focus su aziende finanziarie e criptovalutarie, spesso perpetrando cyberattacchi da milioni di dollari per finanziare i programmi di arma e cyberspionaggio della Corea del Nord. Tra i raid più famosi ci sono il cyber attacco all’app Sony Pictures del 2014 e la campagna ransomware WannaCry del 2017, che ha paralizzato attività in tutto il mondo.
Storia delle vulnerabilità sfruttate
Nel tempo, il gruppo ha dimostrato una particolare predilezione per l’abuso di driver kernel, avendo già sfruttato vulnerabilità in driver come appid.sys e dbutil23.sys di Dell per installare il FUDModule. La loro capacità di manovrare tali attacchi dimostra non solo la loro expertise, ma anche il persistere di una minaccia globale alla sicurezza informatica.
risposte e misure emergenziali
Le azioni di Microsoft e dell’agenzia governativa statunitense
A fronte di questa minaccia crescente, Microsoft ha rapidamente rilasciato una patch per correggere la vulnerabilità CVE-2024-38193 durante il Patch Tuesday di agosto 2024, insieme ad altre sette vulnerabilità zero-day. Questa reazione sottolinea l’impegno dell’azienda nel garantire la sicurezza dei propri sistemi operativi.
In aggiunta, il governo degli Stati Uniti ha incluso il gruppo Lazarus nelle sue liste di minacce, offrendo una ricompensa di fino a 5 milioni di dollari per informazioni che possano aiutare a identificare o localizzare i membri di questo gruppo. Questa iniziativa evidenzia la gravità delle operazioni compiute da Lazarus e la pervasività della minaccia che rappresentano per il mondo digitale.
La comunità informatica, ora più che mai, è chiamata a rimanere vigile e attenta, consapevole dei rischi intrinseci che derivano da vulnerabilità zero-day e delle tecniche evolute di attacco messe in atto da attori malevoli come il gruppo Lazarus.