O Grupo Lazarus explorarou uma falha de escalonamento de privilégios recentemente corrigida no Kernel do Windows como um zero-day para obter acesso ao nível do kernel e desativar softwares de segurança em hosts comprometidos.

A vulnerabilidade em questão é a CVE-2024-21338 (pontuação CVSS: 7.8), que pode permitir que um atacante ganhe privilégios de SISTEMA. Foi resolvida pela Microsoft no início deste mês como parte das atualizações de Patch Tuesday.

“Para explorar essa vulnerabilidade, um atacante primeiro teria que fazer login no sistema”, disse a Microsoft. “Um atacante poderia então executar um aplicativo especialmente criado que poderia explorar a vulnerabilidade e assumir o controle de um sistema afetado.”

Embora não houvesse indicações de exploração ativa da CVE-2024-21338 no momento do lançamento das atualizações, a Redmond revisou na quarta-feira sua “Avaliação de Explorabilidade” para a falha como “Exploração Detectada”. O exploit foi elaborado pelo Grupo Lazarus envolve o uso da CVE-2024-21338 no driver appid.sys para executar código arbitrário de maneira a contornar todas as verificações de segurança e executar o rootkit FudModule.