Microsoft behebt endlich eine schwerwiegende Sicherheitslücke im Windows-Kernel
Microsoft hat endlich eine hochgefährliche Sicherheitslücke geschlossen, von der das Unternehmen Berichten zufolge seit mindestens einem halben Jahr wusste, dass sie ausgenutzt wird.
Die Sicherheitslücke mit der Bezeichnung CVE-2024-21338 wurde erstmals vor etwa sechs Monaten von Avast-Cybersecurity-Forschern entdeckt.
Die als Windows Kernel Privilege Escalation bezeichnete Sicherheitslücke wurde im appid.sys Windows AppLocker-Treiber entdeckt. Sie betraf mehrere Versionen der Betriebssysteme Windows 10 und Windows 11. Er wurde auch in Windows Server 2019 und 2022 gefunden.
Bereits letztes Jahr haben Avast-Forscher Microsoft über die Schwachstelle informiert und darauf hingewiesen, dass sie als Zero-Day-Sicherheitslücke ausgenutzt wurde. Seitdem haben einige der größten und bedrohlichsten Cyberkriminellen der Welt die Sicherheitslücke aktiv genutzt, darunter auch die Nordkoreaner.
Um den Zero-Day auszunutzen, verwendete Lazarus eine neue Version von FudModule, seinem proprietären Rootkit, das erstmals Ende 2022 entdeckt wurde. Bei früheren Angriffen missbrauchte das Rootkit einen Dell-Treiber, was als BYOVD-Angriff (Bring Your Own Vulnerable Driver) bekannt ist. Jetzt ist das FudModule getarnter und funktioneller und bietet mehr Möglichkeiten, um nicht entdeckt zu werden und Endpunktschutzlösungen auszuschalten.
Offenbar nutzten Gruppen die Sicherheitslücke, um Produkte wie AhnLab V3 Endpoint Security, Windows Defender und die Anti-Malware-Lösung HitmanPro zu deaktivieren.
Ein Patch für die Sicherheitslücke ist seit Mitte Februar 2024 verfügbar. Microsoft hat außerdem letzte Woche seinen Hinweis auf die Sicherheitslücke aktualisiert und bestätigt, dass diese aktive ausgenutzt wird. Es wurden jedoch keine Details über die Angreifer bekannt gegeben.
Um diese Sicherheitslücke auszunutzen, müsste sich ein Angreifer zunächst beim System anmelden. Ein Angreifer könnte dann eine speziell gestaltete Anwendung ausführen, die die Sicherheitslücke ausnutzt und die Kontrolle über ein betroffenes System übernimmt.
Benutzer sollten das kumulative Februar-Patch-Update installieren, rät Microsoft.