朝鲜黑客利用Dell驱动程序漏洞关闭Windows安全机制

安全研究人员发现，朝鲜黑客组织Lazarus近日利用存在13年的Dell驱动程序漏洞关闭Windows计算机上多项的安全防护机制，以植入窃取受害用户资讯的恶意程序。

安全厂商ESET近日发现一波恶意文件攻击行动，受害者为一名荷兰航天公司员工及一名比利时政治记者，他们分别经由LinkedIn及电子邮件收到伪装来自Amazon的信件打开后中标。这波攻击主要目的在于窃取资讯。经过分析，这是由曾黑入过Sony的朝鲜黑客组织Lazarus所为。

研究人员表示，这波攻击最值得注意的是，黑客开采了已经存在13年的Dell一项重大风险固件漏洞CVE-2021-21551。这项漏洞去年为安全厂商Sentinel首先披露，位于Dell驱动程序DBUtil（dbutil_2_3.sys）之中，属于访问管控不足漏洞，可让具本机非管理员权限的攻击者取得核心模式执行权限，以执行恶意程序代码，风险值8.8。

CVE-2021-21551令人惊黑的是它从2009年就已存在DBUtil中，并通过Dell更新的程序发布给Dell消费及企业终端，包括笔记本、PC机、平板等，估计可能数量达千万甚至上亿台。去年公布时，这漏洞还没有遭到开采的记录。所幸Dell 2021年即已修补了CVE-2021-21551漏洞。

ESET研究人员指出，这是CVE-2021-21551有记录以来首次被开采。经由这项漏洞，黑客在用户计算机中下载了一款用户模式（user-mode）模块，而得以读写Windows核心内存，然后再利用核心内存写入的权利，关闭Windows 7用以监控恶意活动的机制，包括登录编辑程序、文件系统、行程创建、及事件关注（event tracing）等。

借由关闭Windows的安全监控机制，Lazarus得以在受害者计算机中植入多种恶意程序，包括dropper、loader、HTTPS后门程序、HTTPS上传器及下载器程序，其中包括Blindingcan远程访问木马（Remote Access Trojan，RAT）。

Blindingcan多年前即被朝鲜黑客用以攻击全球多国人士，具有窃取资讯、创建或终止新程序，或是搜索、写入、移动与删除、变更文件、变更时间戳，删除自己踪迹等强大能力。

除了核心内存外，黑客可能也已成功访问多项Windows内前所少见或未见的区域，研究人员说这有待日后研究。

防护之道方面，除了尽快升级Dell DBUtil固件外，研究人员建议企业也应告诫员工，不得在公司网络内的计算机上从事私人事务，像是找工作。