По данным Avast, ее активно использовали северокорейские хакеры, связанные с группировкой Lazarus. Уязвимость была связана с драйвером appid.sys в утилите AppLocker.
А тем временем Microsoft прекращает поддержку Android-приложений в Windows через год после запуска функции
Почему это было опасно?
Использование этого недостатка позволяло злоумышленникам с системным доступом повысить свои привилегии до уровня SYSTEM без необходимости какого-либо взаимодействия с жертвой. Эта уязвимость влияла на устройства под управлением различных версий Windows, включая Windows 11, Windows 10, Windows Server 2022 и Windows Server 2019.
В Avast объяснили, что для использования CVE-2024-21338 злоумышленникам нужно было авторизоваться в системе, а затем запустить специально созданное приложение, предназначенное для использования уязвимости и получения контроля над устройством.
Согласно выводам Avast, группа Lazarus использовала эту уязвимость по меньшей мере с августа прошлого года. Эксплуатация ошибки позволила злоумышленникам получить привилегии на уровне ядра и деактивировать защитные механизмы на скомпрометированных системах. Впоследствии они незаметно внедряли в пораженные системы руткит FudModule, который позволял им проводить различные манипуляции с объектами ядра.