Alcuni nuovi report hanno messo in luce attacchi portati avanti dal gruppo hacker Lazarus, presumibilmente sostenuto dal governo nordcoreano, che avrebbe sfruttato una vulnerabilità zero-day di Windows. Fin qui nulla di strano, se non che Microsoft avrebbe rilasciato una patch dopo ben sei mesi, pur sapendo che la vulnerabilità era sfruttata attivamente dagli hacker.
La vulnerabilità in questione è stata identificata come CVE-2024-21338 e ha permesso al gruppo di distribuire il rootkit FudModule, particolarmente avanzato e capace di fornire ai malintenzionati il controllo dei sistemi compromessi. FudModule è in grado di nascondere file, processi e altre attività malevole dal sistema, permettendo agli hacker di agire indisturbati sui sistemi infetti.
Lazarus avrebbe sfruttato la vulnerabilità con tecniche non tradizionali, ma prendendo di mira appid.sys, un driver essenziale per il servizio Windows AppLocker. Questo approccio ha permesso di eludere le difese principali di Windows, inclusi i sistemi Endpoint Detection and Response e Protected Process Light.
I ricercatori Avast avrebbero informato Microsoft delle vulnerabilità zero-day già ad agosto, tuttavia l’azienda ha rilasciato una patch solamente lo scorso febbraio, ben sei mesi dopo. A preoccupare ancora di più è l’assoluto silenzio riguardo lo sfruttamento della vulnerabilità e i dettagli del rootkit usato da Lazarus; queste informazioni infatti sono emerse solo dopo che Avast ha divulgato pubblicamente la violazione.
Un ritardo del genere nel rilascio della patch fa sorgere diverse domande: Kevin Beaumont, un ricercatore indipendente, ha descritto il modo in cui Microsoft ha gestito la vulnerabilità come "un altro errore", evidenziando i potenziali rischi per gli utenti di Windows. Altri esperti difendono l’azienda, ipotizzando complessità ingegneristiche e altri fattori che possono aver contribuito a questo ritardo.
Visto quanto accaduto, gli esperti di sicurezza spingono gli utenti Windows a dare priorità all’installazione della patch per questa vulnerabilità, dato che ora che è pubblica, potrebbe essere sfruttata in maniera diffusa dai malintenzionati che vogliono colpire sistemi non aggiornati.