За даними Avast, її активно використовували північнокорейські хакери, пов'язані з угрупуванням Lazarus. Вразливість була пов'язана з драйвером appid.sys в утиліті AppLocker.
А тим часом Microsoft припиняє підтримку Android-застосунків у Windows через рік після запуску функції
Чому це було небезпечно?
Використання цього недоліку дозволяло зловмисникам з системним доступом підвищити свої привілеї до рівня SYSTEM без необхідності будь-якої взаємодії з жертвою. Ця вразливість впливала на пристрої під управлінням різних версій Windows, включаючи Windows 11, Windows 10, Windows Server 2022 і Windows Server 2019.
В Avast пояснили, що для використання CVE-2024-21338 зловмисникам потрібно було авторизуватися в системі, а потім запустити спеціально створений застосунок, призначений для використання вразливості та отримання контролю над пристроєм.
Згідно з висновками Avast, група Lazarus використовувала цю вразливість щонайменше з серпня минулого року. Експлуатація помилки дозволила зловмисникам отримати привілеї на рівні ядра та деактивувати захисні механізми на скомпрометованих системах. Згодом вони непомітно впроваджували в уражені системи руткіт FudModule, який дозволяв їм проводити різні маніпуляції з об'єктами ядра.