Görünüşe göre Microsoft, altı ay boyunca bilgisayar korsanları tarafından aktif olarak kullanılan sıfır gün Windows güvenlik açığının farkındaydı ve bu açığı kapamak için hiç de acele davranmadı. Aktarılanlara göre Lazarus olarak bilinen Kuzey Koreli hacker grubu, Ağustos 2023’ten beri FudModule olarak bilinen bir rootkit yüklemek için bu açığı kullanıyordu. Bu açık halihazırda kapatılmış olsa da sürecin bu kadar uzamış olması dikkat çekici. Çekirdek düzeyinde Windows açığı hackerlara sınırsız erişim sağladı
Avast araştırmacılarına göre FudModule, son derece gizli ve gelişmiş bir kötü amaçlı yazılım konumunda ve Windows çekirdeğindeki ayrıcalık/yetki yükseltme güvenlik açığından yararlanıyor. Teorik olarak yönetici erişimine sahip kötü niyetli kullanıcıların (bu konuda Lazarus grubu) işletim sistemi çekirdeği ile kolayca etkileşime geçmek için bu güvenlik açığından faydalanması mümkün.
Avast’a göre çekirdek erişimi BYOVD (Bring Your Own Vulnerable Driver) olarak bilinen bir yaklaşımla, üçüncü taraf sürücülerdeki bilinen güvenlik açıklarından yararlanılarak elde edilebiliyor. Esasında BYOVD, kullanıcılar veya güvenlik araçları tarafından yakalanabilen ve engellenebilen bir teknik ancak ilgili açık Windows’un yerel AppLocker hizmet sürücüsünde (appid.sys) yer aldığı için Lazarus grubunun FudModule rootkit’i herhangi bir güvenlik önlemine takılmadan istenilen her türlü amaca hizmet edebiliyor.
Microsoft, Şubat 2024′te CVE-2024-21338 olarak belirtilen ilgili açığı düzeltmek için bir yama yayınlamış durumda. İlgili yamalar Windows 11, 10, Server 2022 ve 2019 sürümlerinde yayınlanmış durumda. Öte yandan Microsoft’un açığı kapamasında gecikmesinin başlıca nedeni ise firmanın kendi politikaları. Microsoft’un resmi politikalarına göre bu tür yöneticiden çekirdeğe güvenlik sorunları acil olarak nitelendirilmiyor ve bu da firmanın acele davranmayacağı anlamına geliyor.
