Специалисты Gen Digital сообщили, что атаки с использованием этой уязвимости были зафиксированы в июне и связаны с кампаниями против бразильских криптовалютных специалистов. Хакеры из Lazarus использовали данную уязвимость для установки руткита FUDModule, позволяющего скрывать свою деятельность от систем защиты.
Уязвимость AFD.sys относится к классу «use after free» и служит точкой входа в ядро Windows для работы с протоколом Winsock. Microsoft предостерегает, что она может быть использована для обхода стандартных мер безопасности и получения системных привилегий, которые позволяют запускать неподтверждённый код.
Специалисты отметили, что BYOVD-атаки подразумевают установку на целевые машины драйверов с известными уязвимостями для повышения привилегий на уровне ядра. В этом случае использование уязвимости AFD.sys значительно упрощает задачу злоумышленников, так как данный драйвер присутствует на всех устройствах с Windows.
Аналитики не раскрывают информацию о том, сколько организаций пострадали от атак и насколько успешной была работа антивирусных программ против последней версии FUDModule. Тем не менее, такая сложная атака может достигать высокой стоимости на черном рынке.