Microsoft исправила данную уязвимость, получившую идентификатор CVE-2024-38193, в августе 2024 года во время выпуска регулярных обновлений безопасности в рамках «Вторника Патчей» наряду с семью другими уязвимостями нулевого дня.
| ОС Windows | Сборка | Версия | Канал | Обновление | ISO-образы | Доступно |
|---|---|---|---|---|---|---|
| Windows 10 | 19045.4780 | 22H2 | Stable | KB5041580 | ISO (UUP) | 2024-08-13 |
| Windows 11 | 22631.4037 | 23H2 | Stable | KB5041585 | ISO (UUP) | 2024-08-13 |
| Windows 11 | 26100.1457 | 24H2 | Stable | KB5041571 | ISO (UUP) | 2024-08-13 |
CVE-2024-38193 представляет собой уязвимость типа «Bring Your Own Vulnerable Driver» (BYOVD) в Windows Ancillary Function Driver для WinSock (AFD.sys), который служит точкой входа в ядро Windows для протокола Winsock.
Эта уязвимость была обнаружена исследователями Gen Digital, которые утверждают, что группа Lazarus использовала проблему безопасности в AFD.sys как уязвимость нулевого дня для установки руткита FUDModule, который помогает избежать обнаружения, отключая функции мониторинга Windows.
Специалисты Gen Digital предупредили:
В начале июня Луиджино Камастра (Luigino Camastra) и Миланек (Milanek) обнаружили, что группа Lazarus эксплуатировала скрытую уязвимость в важной части Windows, называемой драйвером AFD.sys.
Эта уязвимость позволила им получить несанкционированный доступ к чувствительным областям системы. Также было обнаружено, что они использовали специальный тип вредоносного ПО, называемого Fudmodule, чтобы скрыть свою деятельность от программ безопасности.
Атака типа «Bring Your Own Vulnerable Driver» заключается в том, что злоумышленники устанавливают уязвимые драйверы на целевые машины, которые затем эксплуатируются для получения привилегий уровня ядра. Злоумышленники часто злоупотребляют сторонними драйверами, такими как антивирусные или аппаратные драйверы, которые требуют высоких привилегий для взаимодействия с ядром.
Особая опасность данной уязвимости заключается в том, что она была обнаружена в драйвере AFD.sys, который по умолчанию установлен на всех устройствах Windows. Это позволило злоумышленникам проводить вредоносную атаку, не устанавливая более старый уязвимый драйвер, который мог бы быть заблокирован и легко обнаружен системой.
Группа Lazarus ранее уже использовала драйверы ядра Windows appid.sys и Dell dbutil_2_3.sys в атаках BYOVD для установки FUDModule.
Группировка Lazarus
Хотя специалисты Gen Digital не раскрыли деталей о том, кто был целью атаки и когда она произошла, известно, что Lazarus нацеливается на финансовые и криптовалютные компании, осуществляя кибер-кражи на миллионы долларов, которые используются для финансирования оружейных и киберпрограмм правительства Северной Кореи.
Группа получила известность после хакерской атаки на Sony Pictures в 2014 году и глобальной кампании программы-вымогателя WannaCry в 2017 году, которая зашифровала данные компаний по всему миру.
В апреле 2022 года правительство США связало группу Lazarus с кибератакой на Axie Infinity, которая позволила злоумышленникам украсть криптовалюту на сумму более 617 миллионов долларов.
Правительство США предлагает вознаграждение до 5 миллионов долларов за информацию о вредоносной деятельности хакеров из КНДР, которая поможет в их идентификации или поимке.
Последние статьи #Microsoft
• Доступен тестовый пакет для функции «Быстрое восстановление компьютера» в Windows 11
• Обновление KB5055622 (Build 26120.3671) для Windows 11, версия 24H2 (Beta)
• Обновление KB5055625 (Build 26200.5518) для Windows 11, версия 24H2 (Dev)
• Microsoft: Ваш Windows 10 ПК не поддерживает Windows 11? Пора купить новый компьютер!
• Windows 11 теперь может устанавливать обновления безопасности без перезагрузки — но не для всех
• Мини-ПК Windows 365 Link от Microsoft поступил в продажу — опубликованы полные характеристики и цена