Уязвимость нулевого дня в драйвере Windows AFD.sys эксплуатируется хакерской группировкой Lazarus

2024-08-20 1841 комментарии
Известная хакерская группировка Lazarus из Северной Кореи использовала уязвимость нулевого дня в драйвере Windows AFD.sys для повышения привилегий и установки руткита FUDModule в целевых системах

Microsoft исправила данную уязвимость, получившую идентификатор CVE-2024-38193, в августе 2024 года во время выпуска регулярных обновлений безопасности в рамках «Вторника Патчей» наряду с семью другими уязвимостями нулевого дня.

ОС Windows Сборка Версия Канал Обновление ISO-образы Доступно
Windows 10 19045.4780 22H2 Stable KB5041580 ISO (UUP) 2024-08-13
Windows 11 22631.4037 23H2 Stable KB5041585 ISO (UUP) 2024-08-13
Windows 11 26100.1457 24H2 Stable KB5041571 ISO (UUP) 2024-08-13

CVE-2024-38193 представляет собой уязвимость типа «Bring Your Own Vulnerable Driver» (BYOVD) в Windows Ancillary Function Driver для WinSock (AFD.sys), который служит точкой входа в ядро Windows для протокола Winsock.

Эта уязвимость была обнаружена исследователями Gen Digital, которые утверждают, что группа Lazarus использовала проблему безопасности в AFD.sys как уязвимость нулевого дня для установки руткита FUDModule, который помогает избежать обнаружения, отключая функции мониторинга Windows.

Специалисты Gen Digital предупредили:

В начале июня Луиджино Камастра (Luigino Camastra) и Миланек (Milanek) обнаружили, что группа Lazarus эксплуатировала скрытую уязвимость в важной части Windows, называемой драйвером AFD.sys.

Эта уязвимость позволила им получить несанкционированный доступ к чувствительным областям системы. Также было обнаружено, что они использовали специальный тип вредоносного ПО, называемого Fudmodule, чтобы скрыть свою деятельность от программ безопасности.

Атака типа «Bring Your Own Vulnerable Driver» заключается в том, что злоумышленники устанавливают уязвимые драйверы на целевые машины, которые затем эксплуатируются для получения привилегий уровня ядра. Злоумышленники часто злоупотребляют сторонними драйверами, такими как антивирусные или аппаратные драйверы, которые требуют высоких привилегий для взаимодействия с ядром.

Особая опасность данной уязвимости заключается в том, что она была обнаружена в драйвере AFD.sys, который по умолчанию установлен на всех устройствах Windows. Это позволило злоумышленникам проводить вредоносную атаку, не устанавливая более старый уязвимый драйвер, который мог бы быть заблокирован и легко обнаружен системой.

Группа Lazarus ранее уже использовала драйверы ядра Windows appid.sys и Dell dbutil_2_3.sys в атаках BYOVD для установки FUDModule.

Группировка Lazarus

Хотя специалисты Gen Digital не раскрыли деталей о том, кто был целью атаки и когда она произошла, известно, что Lazarus нацеливается на финансовые и криптовалютные компании, осуществляя кибер-кражи на миллионы долларов, которые используются для финансирования оружейных и киберпрограмм правительства Северной Кореи.

Группа получила известность после хакерской атаки на Sony Pictures в 2014 году и глобальной кампании программы-вымогателя WannaCry в 2017 году, которая зашифровала данные компаний по всему миру.

В апреле 2022 года правительство США связало группу Lazarus с кибератакой на Axie Infinity, которая позволила злоумышленникам украсть криптовалюту на сумму более 617 миллионов долларов.

Правительство США предлагает вознаграждение до 5 миллионов долларов за информацию о вредоносной деятельности хакеров из КНДР, которая поможет в их идентификации или поимке.

© . По материалам Bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте