Una falla de seguridad recientemente corregida en Microsoft Windows fue explotada como un día cero por el grupo Lazarus, un prolífico actor patrocinado por el estado afiliado a Corea del Norte.

La vulnerabilidad de seguridad, identificada como CVE-2024-38193 (puntuación CVSS: 7,8), ha sido descrita como un error de escalada de privilegios en el controlador de funciones auxiliares de Windows (AFD.sys) para WinSock.

A los investigadores de Gen Digital Luigino Camastra y Milánek se les atribuye el descubrimiento y el informe de la falla. Gen Digital posee varias marcas de software de seguridad y utilidades como Norton, Avast, Avira, AVG, ReputationDefender y CCleaner.

El proveedor de ciberseguridad señaló además que los ataques se caracterizaron por el uso de un rootkit llamado FudModule en un intento de evadir la detección.

Si bien los detalles técnicos exactos asociados con las intrusiones se desconocen actualmente, la vulnerabilidad recuerda a otra falla de escalada de privilegios que Microsoft solucionó en febrero de 2024 y que también fue utilizada como arma por el Grupo Lazarus para eliminar FudModule.

En concreto, se trataba de la explotación de CVE-2024-21338 (puntuación CVSS: 7,8), un fallo de escalada de privilegios del kernel de Windows que se encuentra en el controlador AppLocker (appid.sys) y que permite ejecutar código arbitrario de forma que eluda todos los controles de seguridad y ejecute el rootkit FudModule.

Ambos ataques son notables porque van más allá de un ataque tradicional Bring Your Own Vulnerable Driver (BYOVD) al aprovechar un fallo de seguridad en un controlador que ya está instalado en un host de Windows en lugar de «traer» un controlador susceptible y usarlo para eludir las medidas de seguridad.

Ataques anteriores detallados por la empresa de ciberseguridad Avast revelaron que el rootkit se distribuye mediante un troyano de acceso remoto conocido como Kaolin RAT.