北朝鮮ハッカーLazarus、Windowsのゼロデイ悪用しカーネル権限奪取：CVE-2024-21338

2月29日：サイバーセキュリティ関連ニュース

北朝鮮ハッカーLazarus、Windowsのゼロデイ悪用しカーネル権限奪取：CVE-2024-21338

BleepingComputer – February 28, 2024

北朝鮮の脅威アクターLazarus GroupがWindowsの脆弱性CVE-2024-21338をゼロデイとして悪用していたことを、Avastが28日公開のブログ記事において報告。同社によれば、Lazarusは検出されやすいBYOVDの手法を用いずに済むよう、同脆弱性を悪用することでカーネルレベルのアクセス権を奪取し、セキュリティツールを無効化していたのだという。

CVE-2024-21338はAppLockerのドライバ（appid.sys）に存在するカーネル特権昇格の脆弱性。今年2月の月例セキュリティ更新プログラムで修正されていたものの、マイクロソフトは28日に至るまで「悪用確認済み」の表記をしていなかった。

Lazarusはこれまで、ルートキット「FudModule」を用いてDellのドライバーを悪用し、BYOVD攻撃を行っていたことが報告されている。しかしAvastが観測した攻撃ではステルス性と機能面が強化されたFudModuleの新バージョンが使用されており、LazarusはCVE-2024-21338を悪用することで同ルートキットに読み取り/書取りのカーネルプリミティブを組み込んでいたという。アップデート版FudModuleは、セキュリティツール（AhnLab V3 Endpoint Security、Windows Defender、CrowdStrike Falcon、HitmanPro）を無効化して悪意ある活動を隠蔽し、侵害したシステム上での永続性を維持する性能を持つとされる。

Avastはブログの中で、Lazarusの新たな戦術からは、カーネルアクセス能力の大幅な向上がみて取れると指摘。これにより、以前よりもステルス性が高い攻撃の実施と、これまでよりも長期間にわたるシステムへの潜伏が可能になっているという。この脅威に対処するため、ユーザーには、今年2月の月例セキュリティ更新アップデートを可及的速やかに適用することが求められる。