微软未修补Windows零日漏洞，导致朝鲜黑客长达数月的利用

微软的安全维护标准和Lazarus的利用

微软的安全维护标准规定管理员到内核的漏洞不被视为安全边界，这使得公司有权决定是否修补这些漏洞。这个政策对Lazarus组织起到了有利作用，他们利用未修补的漏洞安装了一个名为“FudModule”的自定义Rootkit。这个Rootkit非常先进和隐秘，能够在控制系统最深层的同时隐藏其文件和进程。在过去，像Lazarus这样的威胁组织曾利用第三方系统驱动程序来获取对内核的访问权限，但这种方法更容易被发现。Lazarus利用的漏洞CVE-2024-21338提供了更高级别的隐秘性，因为它针对的是appid.sys，这是一个启用Windows AppLocker服务的驱动程序。

延迟修补和披露

Avast的研究人员在八月份通知了微软这个零日漏洞，并提供了概念验证代码。然而，微软直到上个月才修补了这个漏洞。关于Lazarus Rootkit的活跃利用和详细信息的披露是由Avast而不是微软提供的。只有在Avast披露之后，微软才更新了其修补公告以承认这个利用行为。