Microsoft исправила данную уязвимость, получившую идентификатор CVE-2024-38193, в августе 2024 года во время выпуска регулярных обновлений безопасности в рамках «Вторника Патчей» наряду с семью другими уязвимостями нулевого дня.
| ОС Windows | Сборка | Версия | Канал | Обновление | ISO-образы | Доступно |
|---|---|---|---|---|---|---|
| Windows 10 | 19045.4780 | 22H2 | Stable | KB5041580 | ISO (UUP) | 2024-08-13 |
| Windows 11 | 22631.4037 | 23H2 | Stable | KB5041585 | ISO (UUP) | 2024-08-13 |
| Windows 11 | 26100.1457 | 24H2 | Stable | KB5041571 | ISO (UUP) | 2024-08-13 |
CVE-2024-38193 представляет собой уязвимость типа «Bring Your Own Vulnerable Driver» (BYOVD) в Windows Ancillary Function Driver для WinSock (AFD.sys), который служит точкой входа в ядро Windows для протокола Winsock.
Эта уязвимость была обнаружена исследователями Gen Digital, которые утверждают, что группа Lazarus использовала проблему безопасности в AFD.sys как уязвимость нулевого дня для установки руткита FUDModule, который помогает избежать обнаружения, отключая функции мониторинга Windows.
Специалисты Gen Digital предупредили:
В начале июня Луиджино Камастра (Luigino Camastra) и Миланек (Milanek) обнаружили, что группа Lazarus эксплуатировала скрытую уязвимость в важной части Windows, называемой драйвером AFD.sys.
Эта уязвимость позволила им получить несанкционированный доступ к чувствительным областям системы. Также было обнаружено, что они использовали специальный тип вредоносного ПО, называемого Fudmodule, чтобы скрыть свою деятельность от программ безопасности.
Атака типа «Bring Your Own Vulnerable Driver» заключается в том, что злоумышленники устанавливают уязвимые драйверы на целевые машины, которые затем эксплуатируются для получения привилегий уровня ядра. Злоумышленники часто злоупотребляют сторонними драйверами, такими как антивирусные или аппаратные драйверы, которые требуют высоких привилегий для взаимодействия с ядром.
Особая опасность данной уязвимости заключается в том, что она была обнаружена в драйвере AFD.sys, который по умолчанию установлен на всех устройствах Windows. Это позволило злоумышленникам проводить вредоносную атаку, не устанавливая более старый уязвимый драйвер, который мог бы быть заблокирован и легко обнаружен системой.
Группа Lazarus ранее уже использовала драйверы ядра Windows appid.sys и Dell dbutil_2_3.sys в атаках BYOVD для установки FUDModule.
Группировка Lazarus
Хотя специалисты Gen Digital не раскрыли деталей о том, кто был целью атаки и когда она произошла, известно, что Lazarus нацеливается на финансовые и криптовалютные компании, осуществляя кибер-кражи на миллионы долларов, которые используются для финансирования оружейных и киберпрограмм правительства Северной Кореи.
Группа получила известность после хакерской атаки на Sony Pictures в 2014 году и глобальной кампании программы-вымогателя WannaCry в 2017 году, которая зашифровала данные компаний по всему миру.
В апреле 2022 года правительство США связало группу Lazarus с кибератакой на Axie Infinity, которая позволила злоумышленникам украсть криптовалюту на сумму более 617 миллионов долларов.
Правительство США предлагает вознаграждение до 5 миллионов долларов за информацию о вредоносной деятельности хакеров из КНДР, которая поможет в их идентификации или поимке.
Последние статьи #Microsoft
• Сертификаты Windows Secure Boot скоро истекут — что это значит для пользователей
• Microsoft Copilot: тестирование новых функций поиска, отслеживания покупок и интеграции с Google Drive
• Microsoft тестирует проверку скорости интернета в трее Windows 11, но в России функция работать не будет
• Microsoft переносит еще больше элементов Панели управления в приложение «Параметры» в Windows 11
• Microsoft сняла блокировку установки Windows 11, версия 24H2 для устройств с Dirac Audio
• AMD опубликовала руководство по решению проблем с драйверами чипсета и графики в Windows 10 и Windows 11