Microsoft устранила уязвимость в драйвере Windows
Описание уязвимости
В рамках последнего накопительного обновления Patch Tuesday, Microsoft исправила уязвимость повышения привилегий в драйвере вспомогательных функций Windows для WinSock (AFD.sys). Эта уязвимость получила название CVE-2024-38193 и имеет уровень серьезности 7.8.
Влияние уязвимости
Эксплуатация этой уязвимости позволяет злоумышленникам получить права администратора на уязвимом устройстве. Microsoft отмечает: «Атакующий, успешно эксплуатировавший эту уязвимость, может получить права SYSTEM.»
Использование уязвимости злоумышленниками
Однако патч может быть слишком поздним, так как некоторые исследователи заявили, что хакеры уже использовали эту уязвимость, когда она была «нулевым днем». Исследователи из Gen Digital, владельцы антивирусов Norton, Avira и Avast, утверждают, что известная северокорейская хакерская группа Lazarus использовала эту уязвимость для установки руткита FudModule.
Lazarus снова атакует
«Эта уязвимость позволила им получить несанкционированный доступ к критически важным системным областям,» говорится в отчете Gen Digital. «Уязвимость позволила злоумышленникам обойти обычные меры безопасности и получить доступ к критически важным системным зонам, к которым большинство пользователей и администраторов не имеют доступа.»
«Этот тип атаки является как сложным, так и изобретательным, потенциально стоящим несколько сотен тысяч долларов на черном рынке. Это вызывает озабоченность, поскольку нацелен на людей в чувствительных областях, таких как разработка криптовалют или аэрокосмическая индустрия, чтобы получить доступ к сетям их работодателей и украсть криптовалюту для финансирования операций злоумышленников,» заключили исследователи.
Деятельность группы Lazarus
Группа Lazarus известна своими разрушительными кибератаками. Они особенно прославились своими фальшивыми кампаниями по найму, создавая поддельные профили на LinkedIn или выдавая себя за известных людей, чтобы предложить программистам высокооплачиваемые вакансии.
В результате одной из таких атак против разработчика блокчейна было украдено около 600 миллионов долларов от криптовалютного проекта. Некоторые исследователи утверждают, что Северная Корея использует эти средства для финансирования своего государственного аппарата и своей оружейной программы.
Заключение
Уязвимость в драйвере вспомогательных функций Windows для WinSock представляет серьёзную угрозу безопасности, особенно учитывая активное использование этой уязвимости хакерскими группами. Обновление от Microsoft должно помочь в усилении защиты, однако остается много вопросов о том, сколько систем уже пострадало и насколько масштабны были атаки.
Источник: TechRadar
