El peligroso día cero se utilizó mucho antes de que apareciera el parche.
El 2 de septiembre, el investigador de seguridad Sergey Kornienko de la empresa PixiePoint publicó un análisis y una demostración de la explotación de una vulnerabilidad crítica de día cero en el núcleo de Windows, conocida como CVE-2024-38106. Esta vulnerabilidad de elevación de privilegios ya está siendo utilizada activamente por atacantes, lo que requiere acciones urgentes por parte de especialistas en seguridad y usuarios.
La CVE-2024-38106 (calificación en la escala CVSS: 7.0) se encuentra en el núcleo del sistema operativo Windows, concretamente en el proceso ntoskrnl.exe. Este núcleo es un componente clave de Windows, que asegura la interacción entre el hardware y el software, además de soportar el funcionamiento de muchos servicios importantes del sistema.
La vulnerabilidad está relacionada con una Race Condition, una situación en la que el resultado depende de la secuencia o el tiempo de ejecución de los eventos. Un atacante que aproveche esta vulnerabilidad con éxito puede elevar sus privilegios al nivel SYSTEM, lo que le otorga control total sobre el dispositivo comprometido.
La vulnerabilidad fue reportada de manera responsable a Microsoft, y la actualización que corrige la CVE-2024-38106 ya ha sido lanzada. Kornienko también analizó la actualización que corrige la vulnerabilidad y señaló cambios importantes en dos funciones clave: VslGetSetSecureContext() y NtSetInformationWorkerFactory(). Estos cambios fueron necesarios para eliminar la Race Condition y mejorar la seguridad del sistema.
En particular, se introdujeron mecanismos de bloqueo para las operaciones relacionadas con el modo seguro del núcleo Virtualization-Based Security (VBS), además de añadirse una verificación de banderas en el proceso NtShutdownWorkerFactory(), lo que redujo la probabilidad de explotación de la vulnerabilidad.
Kornienko también publicó un exploit PoC que muestra cómo los atacantes pueden usar la CVE-2024-38106 para elevar privilegios. La publicación del exploit destaca los riesgos potenciales para los usuarios domésticos y corporativos si la vulnerabilidad no se corrige a tiempo.
Según PixiePoint, la vulnerabilidad fue utilizada activamente por un grupo de hackers norcoreanos conocido como Citrine Sleet. Los ataques registrados comenzaban redirigiendo a las víctimas a un sitio malicioso llamado «voyagorclub[.]space». Se supone que para esto se utilizaron técnicas de ingeniería social.
Una vez en el sitio, se explotaba la vulnerabilidad de ejecución remota de código CVE-2024-7971, lo que permitía a los atacantes obtener acceso al sistema objetivo. Luego descargaban y ejecutaban código diseñado para explotar la CVE-2024-38106, lo que permitía evadir el sandbox y elevar privilegios. Esto les permitió implantar malware, un rootkit llamado FudModule.
El peligro particular del rootkit FudModule radica en el uso de la técnica Direct Kernel Object Manipulation (DKOM), que permite a los atacantes alterar los mecanismos de seguridad del núcleo de Windows. Esto hace que sea extremadamente difícil de detectar y eliminar.
Microsoft lanzó rápidamente un parche para la vulnerabilidad CVE-2024-38106 como parte de la actualización de agosto de 2024. Sin embargo, el hecho de que la vulnerabilidad ya se hubiera utilizado en ataques antes del lanzamiento del parche subraya la importancia de instalar actualizaciones de manera oportuna y la vigilancia constante en el ámbito de la ciberseguridad.