Уязвимость CVE-2024-38193 использовалась группировкой Lazarus для атак в Бразилии
Уязвимость CVE-2024-38193, связанная с повышением привилегий в драйвере AFD.sys для WinSock в Windows, была использована хакерами из группировки Lazarus в качестве уязвимости нулевого дня. Эта проблема, исправленная ранее в этом месяце, позволяет злоумышленникам получать несанкционированный доступ к критически важным областям системы.

Специалисты Gen Digital сообщили, что атаки с использованием этой уязвимости были зафиксированы в июне и связаны с кампаниями против бразильских криптовалютных специалистов. Хакеры из Lazarus использовали данную уязвимость для установки руткита FUDModule, позволяющего скрывать свою деятельность от систем защиты.

Уязвимость AFD.sys относится к классу «use after free» и служит точкой входа в ядро Windows для работы с протоколом Winsock. Microsoft предостерегает, что она может быть использована для обхода стандартных мер безопасности и получения системных привилегий, которые позволяют запускать неподтверждённый код.

Специалисты отметили, что BYOVD-атаки подразумевают установку на целевые машины драйверов с известными уязвимостями для повышения привилегий на уровне ядра. В этом случае использование уязвимости AFD.sys значительно упрощает задачу злоумышленников, так как данный драйвер присутствует на всех устройствах с Windows.

Аналитики не раскрывают информацию о том, сколько организаций пострадали от атак и насколько успешной была работа антивирусных программ против последней версии FUDModule. Тем не менее, такая сложная атака может достигать высокой стоимости на черном рынке.