Avast Softwareは2月28日(米国時間)、「Lazarus and the FudModule Rootkit: Beyond BYOVD with an Admin-to-Kernel Zero-Day - Avast Threat Labs」において、北朝鮮に関係しているとみられる脅威グループ「Lazarus Group」がWindows標準ドライバーの「appid.sys(アプリケーションIDサービス)」に存在するゼロデイの脆弱性を悪用していることを発見したとして、注意を呼び掛けた。
Windowsが抱えるゼロデイ脆弱性とは
発見されたゼロデイの脆弱性は「CVE-2024-21338」として追跡されており、Microsoftは2月13日(米国時間)に修正パッチ「CVE-2024-21338 - Security Update Guide - Microsoft - Windows Kernel Elevation of Privilege Vulnerability」を公開している。
Avast Softwareによると、この脆弱性はappid.sysのIOCTLディスパッチャー内に存在するという。このIOCTLディスパッチャー内には2つのカーネル関数ポインタを入力として受け取る処理が存在する。通常、カーネル関数ポインタを渡せるプロセスはカーネルモードで動作しているプロセスだけであり、Avast Softwareも他のAppLockerドライバーから呼び出されていることを確認している。しかしながら、このIOCTLはユーザー空間からアクセス可能なままだったという。
つまり、この脆弱性を悪用することで、ユーザー空間からカーネルをだまして任意のポインターを呼び出すことが可能な状態にあった。また、コールバック関数に渡す最初の引数から参照されるデータも部分的に制御可能だったという。
そのため、攻撃者は引数を高度に制御して脆弱性を悪用することで任意のカーネル関数を呼び出せたとみられている。なお、すべてのユーザーがこの脆弱性を悪用できるわけではなく、ローカルサービスアカウントを必要とする。
脆弱性の影響と対策
Lazarus GroupはFudModuleルートキットを継続して開発しているとみられ、今回確認された最新のFudModuleルートキットにはこの脆弱性の悪用が組み込まれているという。さらに、セキュリティソリューションのAhnLab V3 Endpoint Security、Windows Defender、CrowdStrike Falcon、HitmanProを無効にする機能を持ち、高度なステルス性と永続化を実現しているとみられている。
この攻撃を回避するために、Windowsユーザーは影響を確認して最新のパッチを適用することが推奨されている。また、Avast Softwareは最新のFudModuleルートキットを検出するためのYaraルールを「ioc/FudModule at master · avast/ioc · GitHub」にて公開しており、必要に応じて活用することが望まれている。