Microsoft смогла остановить атаки северокорейских хакеров на системы Windows

Microsoft смогла остановить атаки северокорейских хакеров на системы Windows

Изображение: Tadas Sar (unsplash)

Американская корпорация Microsoft заявила о исправлении уязвимости безопасности, которая активно эксплуатировалась как ошибка нулевого дня известной хакерской группировкой из Северной Кореи Lazarus Group. Уязвимость, обозначенная как CVE-2024-38193 (оценка CVSS: 7,8), была описана как ошибка повышения привилегий в драйвере вспомогательных функций Windows (AFD.sys) для WinSock.

Хакеры успешно эксплуатировали эту уязвимость для получения привилегий SYSTEM, что позволило им обойти обычные ограничения безопасности и получить доступ к чувствительным областям системы, к которым большинство пользователей и администраторов не имеют доступа. Об этом Microsoft сообщила в своём официальном сообщении на прошлой неделе. Технологический гигант устранил уязвимость в рамках своего ежемесячного обновления Patch Tuesday.

В компании Gen Digital отметили, что данная уязвимость предоставляла хакерам несанкционированный доступ к критическим компонентам системы, что представляло серьёзную угрозу безопасности.

Хотя точные технические подробности, связанные с атаками, в настоящее время неизвестны, уязвимость напоминает другое повышение привилегий, которое Microsoft устранила в феврале 2024 года. Тогда была устранена уязвимость CVE-2024-21338 (оценка CVSS: 7,8), которая также использовалась группой Lazarus для обхода мер безопасности с целью запуска руткита FudModule. Эта уязвимость, связанная с драйвером AppLocker (appid.sys), позволяла выполнять произвольный код и обходить все проверки безопасности.

Обе эти атаки примечательны тем, что они выходят за рамки традиционной схемы атак «Принеси свой собственный уязвимый драйвер» (BYOVD), поскольку используют уязвимость драйвера, уже установленного на хосте Windows, вместо того чтобы внедрять уязвимый драйвер для обхода мер безопасности.

Предыдущие атаки, подробно описанные компанией Avast, показали, что руткит FudModule распространялся с помощью трояна удалённого доступа, известного как Kaolin RAT.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: