微软最近修复了一个被活跃利用了半年之久的 0day 漏洞。朝鲜黑客组织 Lazarus 至少从去年 8 月起就利用该漏洞安装秘密的 rootkit。该漏洞为已获得系统管理权限的恶意程序提供了一种简单而隐蔽的方法与 Windows kernel 交互。微软长期认为这种从管理权限到系统内核互动的提权不代表跨越了安全边界,这可能有助于解释为什么该漏洞花了如此长时间修复。安全公司 Avast 的研究人员称,对 Windows 安全性而言,管理权限和系统内核之间只有一线之隔。该漏洞被 Lazarus 组织秘密安装 FudModule,Avast 发布报告详细解释了漏洞利用的原理。
https://arstechnica.com/security/2024/03/hackers-exploited-windows-0-day-for-6-months-after-microsoft-knew-of-it/
https://decoded.avast.io/janvojtesek/lazarus-and-the-fudmodule-rootkit-beyond-byovd-with-an-admin-to-kernel-zero-day/