Microsoft исправила данную уязвимость, получившую идентификатор CVE-2024-38193, в августе 2024 года во время выпуска регулярных обновлений безопасности в рамках «Вторника Патчей» наряду с семью другими уязвимостями нулевого дня.
ОС Windows | Сборка | Версия | Канал | Обновление | ISO-образы | Доступно |
---|---|---|---|---|---|---|
Windows 10 | 19045.4780 | 22H2 | Stable | KB5041580 | ISO (UUP) | 2024-08-13 |
Windows 11 | 22631.4037 | 23H2 | Stable | KB5041585 | ISO (UUP) | 2024-08-13 |
Windows 11 | 26100.1457 | 24H2 | Stable | KB5041571 | ISO (UUP) | 2024-08-13 |
CVE-2024-38193 представляет собой уязвимость типа «Bring Your Own Vulnerable Driver» (BYOVD) в Windows Ancillary Function Driver для WinSock (AFD.sys), который служит точкой входа в ядро Windows для протокола Winsock.
Эта уязвимость была обнаружена исследователями Gen Digital, которые утверждают, что группа Lazarus использовала проблему безопасности в AFD.sys как уязвимость нулевого дня для установки руткита FUDModule, который помогает избежать обнаружения, отключая функции мониторинга Windows.
Специалисты Gen Digital предупредили:
В начале июня Луиджино Камастра (Luigino Camastra) и Миланек (Milanek) обнаружили, что группа Lazarus эксплуатировала скрытую уязвимость в важной части Windows, называемой драйвером AFD.sys.
Эта уязвимость позволила им получить несанкционированный доступ к чувствительным областям системы. Также было обнаружено, что они использовали специальный тип вредоносного ПО, называемого Fudmodule, чтобы скрыть свою деятельность от программ безопасности.
Атака типа «Bring Your Own Vulnerable Driver» заключается в том, что злоумышленники устанавливают уязвимые драйверы на целевые машины, которые затем эксплуатируются для получения привилегий уровня ядра. Злоумышленники часто злоупотребляют сторонними драйверами, такими как антивирусные или аппаратные драйверы, которые требуют высоких привилегий для взаимодействия с ядром.
Особая опасность данной уязвимости заключается в том, что она была обнаружена в драйвере AFD.sys, который по умолчанию установлен на всех устройствах Windows. Это позволило злоумышленникам проводить вредоносную атаку, не устанавливая более старый уязвимый драйвер, который мог бы быть заблокирован и легко обнаружен системой.
Группа Lazarus ранее уже использовала драйверы ядра Windows appid.sys и Dell dbutil_2_3.sys в атаках BYOVD для установки FUDModule.
Группировка Lazarus
Хотя специалисты Gen Digital не раскрыли деталей о том, кто был целью атаки и когда она произошла, известно, что Lazarus нацеливается на финансовые и криптовалютные компании, осуществляя кибер-кражи на миллионы долларов, которые используются для финансирования оружейных и киберпрограмм правительства Северной Кореи.
Группа получила известность после хакерской атаки на Sony Pictures в 2014 году и глобальной кампании программы-вымогателя WannaCry в 2017 году, которая зашифровала данные компаний по всему миру.
В апреле 2022 года правительство США связало группу Lazarus с кибератакой на Axie Infinity, которая позволила злоумышленникам украсть криптовалюту на сумму более 617 миллионов долларов.
Правительство США предлагает вознаграждение до 5 миллионов долларов за информацию о вредоносной деятельности хакеров из КНДР, которая поможет в их идентификации или поимке.
Последние статьи #Microsoft
• Обновление KB5046733 (Build 22635.4580) для Windows 11, версия 23H2 (Beta)
• Обновление KB5048780 (Build 26120.2510) для Windows 11, версия 24H2 (Dev): Функции Recall доступны для Copilot+ ПК на базе Intel и AMD
• Новая уязвимость нулевого дня в Windows, включая Windows 11 24H2, раскрывает учетные данные NTLM. Доступен неофициальный патч от 0patch
• «Вторник Патчей», 10 декабря 2024: Eжемесячные обновления безопасности для Windows 11 и Windows 10
• Microsoft выпускает предварительную версию Copilot Vision
• Microsoft подробнее рассказала про функцию «Устранение неполадок с помощью Центра обновления Windows» для Windows 11