Corea del Norte aprovecha vulnerabilidad de Chromium

Microsoft asocia al grupo Citrine Sleet la explotación del CVE-2024–7971 para ganar ejecución remota de código en sistemas vulnerables

Citrine Sleet es un APT asociado al grupo Lazarus que realiza operaciones de robo y blanqueo de criptomonedas con el objeto de conseguir beneficios financieros para el gobierno de Corea del Norte.

En el análisis realizado por investigadores de Inteligencia de Amenazas de Microsoft se descubrió que mediante la explotación de un fallo de seguridad en Chrome el grupo estaba desplegando FudModule.

Este rootkit, que se asocia más habitualmente con el grupo norcoreano Diamond Sleet, permite explotar el modo kernel de Windows mediante la instalación de drivers vulnerables, ganando acceso privilegiado al sistema y la capacidad de deshabilitar herramientas defensivas.

La vulnerabilidad catalogada con el CVE-2024–7971 es del tipo type confusion, en el que un recurso definido usando un tipo es luego accedido usando un tipo incompatible con el primero, lo que provoca un fallo en la lógica que puede ser usado para acceder a memoria fuera de los límites establecidos en sistemas sin seguridad de memoria como C o C++.

En esta ocasión el fallo afecta al motor de JavaScript V8 de las versiones de Chromium previas a 128.0.66183.84 y fue solucionado por Google el 21 de agosto. Con una puntuación de criticidad de 8.8 puntos, la explotación del error lógico permite ganar ejecución remota de código en el proceso de renderizado del navegador, que se ejecuta en sandbox.

Para poder escapar del entorno aislado de ejecución los atacantes utilizaron una shellcode que explota el CVE-2024–38106, una vulnerabilidad en el kernel de Windows corregida en el parche del 13 de agosto. Tras conseguir salir de la sandbox el rootkit FudModule es ejecutado en memoria.

Los atacantes necesitaron por tanto encadenar dos zero-day en diferentes componentes para llevar a cabo sus objetivos maliciosos, lo que destaca una vez más la importancia de mantener una política adecuada de actualizaciones para limitar la ventana en la que un sistema es vulnerable.

Fuentes y más información:

• https://www.microsoft.com/en-us/security/blog/2024/08/30/north-korean-threat-actor-citrine-sleet-exploiting-chromium-zero-day/
• https://www.securityweek.com/microsoft-says-north-korean-cryptocurrency-thieves-behind-chrome-zero-day/
• https://thehackernews.com/2024/08/north-korean-hackers-deploy-fudmodule.html