Microsoft a rezolvat o vulnerabilitate zero-day critică, exploatată activ de grupul de hackeri nord-coreean Lazarus APT. Această vulnerabilitate, identificată în Windows Ancillary Function Driver (AFD.sys) pentru WinSock, permitea acces neautorizat în zone sensibile ale sistemului.
TLDR
- Vulnerabilitate zero-day în componenta Windows Ancillary Function Driver (AFD.sys).
- Exploatată activ de Lazarus APT.
- FudModule, un rootkit specializat, folosit pentru a evita detecția.
- Când este exploatată cu succes, conferea privilegii de nivelul SYSTEM atacatorilor.
- Microsoft a lansat un patch în august 2024.
Exploatarea unei vulnerabilități critice în Windows
În decembrie 2024, Microsoft a dezvăluit o vulnerabilitate extrem de critică (CVE-2024-38193) care a fost exploatată în mod activ de către notoria grupare de hackeri nord-coreeană, Lazarus APT. Descoperită de Gen Threat Labs, această vulnerabilitate afecta driverul Windows Ancillary Function Driver (AFD.sys) pentru WinSock, o componentă esențială a sistemului de operare Windows.
Detalii despre vulnerabilitate
Această vulnerabilitate a fost identificată ca fiind un punct de acces neintenționat către zone sensibile ale sistemului, cauzat de o condiție de cursă între două funcții în driverul afd.sys:
- AfdRioGetAndCacheBuffer()
- AfdRioDereferenceBuffer()
Gen Digital, cercetătorii Luigino Camastra și Milánek, au identificat atacuri centrate pe persoane din domenii critice precum ingineria criptomonedelor și aeronautica. Problema derivă din interacțiunile necorespunzătoare între funcțiile sistemului, creând o scenă de utilizare-după-eliberare pentru structura RIOBuffer.
Modul de exploatare de către Lazarus
Grupul Lazarus, renumit pentru atacurile sale sofisticate, a utilizat această vulnerabilitate pentru a obține privilegii ridicate prin intermediul unui malware denumit FudModule. Acest rootkit a fost conceput special pentru a evita detecția de către software-ul de securitate, permițând atacatorilor să opereze nestingheriți în sistemele compromise. Severitatea vulnerabilității este subliniată de scorul CVSS de 7.8, un indicator al unui risc de securitate ridicat.
Răspunsul Microsoft și măsuri de prevenție
În luna august 2024, Microsoft a inclus un patch pentru CVE-2024-38193 în actualizarea sa Patch Tuesday. Acest remediu a închis eficient această breșă de securitate în toate device-urile Windows vulnerabile. Nephster, un cercetător independent de securitate, a publicat un cod proof-of-concept (PoC) pe GitHub, indicând o metodă de escaladare a privilegiilor pe sistemele care nu au fost patch-uite.
Cum să vă protejați
Pentru a vă proteja de astfel de vulnerabilități și atacuri similare, se recomandă aplicarea actualizărilor de securitate oferite de furnizorii software cât mai curând posibil. De asemenea, este esențial să aveți instalate soluții antivirus actualizate și să vă asigurați că sistemele sunt monitorizate continuu pentru activități neobișnuite sau suspecte.
Sursa articolului:
https://cybersecuritynews.com/critical-windows-zero-day-vulnerability/