Hackers που υποστηρίζονται από την κυβέρνηση της Βόρειας Κορέας έτρεχαν ένα zero-day που άφησε η Microsoft χωρίς επιδιόρθωση για έξι μήνες αν και γνώριζε ότι ήταν υπό ενεργή εκμετάλλευση.
Ακόμη και μετά την επιδιόρθωση της ευπάθειας από τη Microsoft τον περασμένο μήνα, η εταιρεία δεν ανέφερε ότι η βορειοκορεατική hacking ομάδα Lazarus χρησιμοποιούσε την ευπάθεια τουλάχιστον από τον Αύγουστο για να εγκαθιστά ένα μυστικό rootkit σε ευάλωτους υπολογιστές.
Η ευπάθεια παρείχε ένα εύκολο τρόπο για την εγκατάσταση κακόβουλου λογισμικού που μπορούσε να αποκτήσει δικαιώματα συστήματος για αλληλεπίδραση με τον πυρήνα των Windows. Η hacking ομάδα Lazarus χρησιμοποίησε την ευπάθεια για αυτόν ακριβώς τον λόγο.
Η Microsoft βέβαια έχει αναφέρει εδώ και καιρό ότι τέτοια δικαιώματα διαχειριστή στον πυρήνα δεν αντιπροσωπεύουν κάποια παραβίαση ορίου ασφαλείας, και αυτό είναι μια πιθανή εξήγηση για το χρόνο που χρειάστηκε η εταιρεία να διορθώσει την ευπάθεια.
Η πολιτική της Microsoft όμως αποδείχθηκε χρυσάφι για τους hackers της Lazarus με την εγκατάσταση του “FudModule”, ενός προσαρμοσμένου rootkit που η Avast αναφέρει ότι ήταν εξαιρετικά προηγμένο.
Τα Rootkit είναι κακόβουλα λογισμικά που έχουν τη δυνατότητα να κρύβουν τα αρχεία τους, τις διεργασίες τους και άλλες εσωτερικές λειτουργίες τους από το ίδιο το λειτουργικό σύστημα. Ταυτόχρονα ελέγχουν τα βαθύτερα επίπεδα του λειτουργικού συστήματος.
Για να λειτουργήσουν όμως πρέπει πρώτα να αποκτήσουν δικαιώματα διαχείρισης – ένα σημαντικό επίτευγμα για οποιοδήποτε κακόβουλο λογισμικό που μολύνει ένα σύγχρονο λειτουργικό σύστημα.
Στη συνέχεια, πρέπει να ξεπεράσουν ένα ακόμη εμπόδιο: να αλληλεπιδρούν απευθείας με τον πυρήνα, το εσωτερικότερο σημείο ενός λειτουργικού συστήματος που προορίζεται για τις πολύ ευαίσθητες λειτουργίες.
