Mărește (credit: Getty Images)
Hackerii susținuți de guvernul nord-coreean au obținut o victorie majoră atunci când Microsoft a lăsat un Windows zero-day nepatchat timp de șase luni după ce a aflat că se afla sub exploatare activă.
Chiar și după ce Microsoft a corectat vulnerabilitatea luna trecută, compania nu a menționat că grupul de amenințări nord-coreean Lazarus a folosit vulnerabilitatea din august pentru a instala un rootkit ascuns pe computere vulnerabile. Vulnerabilitatea a oferit un mijloc ușor și ascuns pentru malware-ul care obținuse deja drepturi administrative de sistem pentru a interacționa cu nucleul Windows. Lazarus a folosit vulnerabilitatea tocmai pentru asta. Chiar și așa, Microsoft a spus de mult timp că astfel de elevații de la admin-to-kernel nu reprezintă trecerea unei granițe de securitate, o posibilă explicație pentru timpul pe care l-a luat Microsoft pentru a remedia vulnerabilitatea.
Un rootkit „Sfântul Graal”
„Când vine vorba de securitatea Windows, există o linie subțire între admin și kernel”, Jan Vojtěšek, cercetător la firma de securitate Avast explicat săptămâna trecută. „De la Microsoft criteriile de service de securitate au afirmat de mult că „[a]dministrator-to-kernel nu este o limită de securitate, ceea ce înseamnă că Microsoft își rezervă dreptul de a corecta vulnerabilitățile de la admin-to-kernel la propria sa discreție. Drept urmare, modelul de securitate Windows nu garantează că va împiedica un atacator la nivel de administrator să acceseze direct nucleul.”
Comentarii recente