Zuhause > Cyber ​​Aktuelles > CVE-2024-38193 Exploited by Lazarus Group in Targeted Attacks
CYBER NEWS

CVE-2024-38193 wird von der Lazarus-Gruppe bei gezielten Angriffen ausgenutzt

Eine kürzlich gepatchte Sicherheitslücke in Microsoft Windows wurde aktiv ausgenutzt von die Lazarus-Gruppe, eine berüchtigte staatlich geförderte Hackergruppe mit Verbindungen zu Nordkorea. Der Fehler, erkannt als CVE-2024-38193 und bewertet mit einem CVSS-Score von 7.8, ist ein Fehler bei der Rechteausweitung im Windows Ancillary Function Driver (AFD.sys) für WinSock.

CVE-2024-38193 Microsoft-Details

MSRC-Details zur Sicherheitslücke. Image Source: Microsoft

CVE-2024-38193 erklärt

Eine kürzlich gepatchte Sicherheitslücke in Microsoft Windows wurde von der Lazarus Group aktiv ausgenutzt, eine berüchtigte staatlich geförderte Hackergruppe mit Verbindungen zu Nordkorea. Der Fehler, identifiziert als CVE-2024-38193 und bewertet mit einem CVSS-Score von 7.8, ist ein Fehler bei der Rechteausweitung im Windows Ancillary Function Driver (AFD.sys) für WinSock.

Diese kritische Schwachstelle ermöglicht es Angreifern, Privilegien auf Systemebene zu erlangen, Ermöglichen eines unbefugten Zugriffs auf sensible Bereiche eines kompromittierten Systems. Microsoft hat diesen Fehler im Rahmen seines monatlichen Patch Tuesday-Updates behoben, Betonung der Bedeutung regelmäßiger Systemaktualisierungen zur Minderung von Sicherheitsrisiken.

Forscher von Gen Digital, darunter Luigino Camastra und Milánek, sind für die Entdeckung und Meldung des Fehlers verantwortlich. Gen Digital, bekannt für den Besitz beliebter Sicherheitsmarken wie Norton, Avast, Avira, AVG, Reputationsverteidiger, und CCleaner, stellte fest, dass die Sicherheitslücke bereits im Juni ausgenutzt 2024. Die Schwachstelle ermöglichte es Angreifern, Standardsicherheitsmaßnahmen zu umgehen und auf eingeschränkte Systemkomponenten zuzugreifen, die normalerweise weder für Benutzer noch für Administratoren zugänglich sind..

Die Angriffe, die diese Schwachstelle ausnutzten, waren bemerkenswert für die Bereitstellung eines Rootkits namens FudModule., das darauf ausgelegt ist, der Entdeckung zu entgehen. Während die technischen Einzelheiten der Angriffe unklar bleiben, Diese Ausnutzungsmethode ähnelt einer früheren Schwachstelle, CVE-2024-21338, die Microsoft im Februar gepatcht hat 2024. Diese Verwundbarkeit, ein Windows-Kernel-Berechtigungsausweitungsfehler im AppLocker-Treiber (appid.sys), war auch genutzt durch die Lazarus Group um das FudModule-Rootkit zu installieren.




Diese Angriffe sind bedeutsam, weil sie über die typischen Bring Your Own Vulnerable Driver hinausgehen. (BYOVD) Taktik. Anstatt einen vom Angreifer eingeführten Treiber zu verwenden, Die Lazarus-Gruppe nutzte Schwachstellen in vorhandenen Treibern aus, die bereits auf Windows-Hosts vorhanden waren. Diese Methode bietet eine effiziente Möglichkeit, Sicherheitsprotokolle zu umgehen, Dadurch wird es für Sicherheitslösungen schwieriger, diese Eindringlinge zu erkennen und zu verhindern.

Weitere Untersuchungen dieser Angriffe ergaben, dass die FudModule-Rootkit wird typischerweise über einen Remote Access Trojaner übertragen (RAT) namens Kaolin RAT. Nach früheren Untersuchungen von Avast, Die Lazarus-Gruppe nutzt FudModule selektiv, Einsatz nur unter bestimmten Bedingungen, um unnötige Belastung zu vermeiden.

Da die Lazarus-Gruppe weiterhin kritische Schwachstellen ins Visier nimmt, Es ist weiterhin wichtig, dass Organisationen und Einzelpersonen wachsam bleiben und Sicherheitspatches umgehend installieren..

Diese kritische Schwachstelle ermöglicht es Angreifern, Privilegien auf Systemebene zu erlangen, Ermöglichen eines unbefugten Zugriffs auf sensible Bereiche eines kompromittierten Systems. Microsoft hat diesen Fehler im Rahmen seines monatlichen Patch Tuesday-Updates behoben, Betonung der Bedeutung regelmäßiger Systemaktualisierungen zur Minderung von Sicherheitsrisiken.

Forscher von Gen Digital, darunter Luigino Camastra und Milánek, sind für die Entdeckung und Meldung des Fehlers verantwortlich. Gen Digital, bekannt für den Besitz beliebter Sicherheitsmarken wie Norton, Avast, Avira, AVG, Reputationsverteidiger, und CCleaner, stellte fest, dass die Schwachstelle bereits im Juni ausgenutzt wurde 2024. Die Schwachstelle ermöglichte es Angreifern, Standardsicherheitsmaßnahmen zu umgehen und auf eingeschränkte Systemkomponenten zuzugreifen, die normalerweise weder für Benutzer noch für Administratoren zugänglich sind..

Auf CVE-2024-21338 basierende Angriffe

Die Angriffe, die diese Schwachstelle ausnutzten, waren bemerkenswert für die Bereitstellung eines Rootkits namens FudModule., das darauf ausgelegt ist, der Entdeckung zu entgehen. Während die technischen Einzelheiten der Angriffe unklar bleiben, Diese Ausnutzungsmethode ähnelt einer früheren Schwachstelle, CVE-2024-21338, die Microsoft im Februar gepatcht hat 2024. Diese Verwundbarkeit, ein Fehler bei der Rechteausweitung im Windows-Kernel im AppLocker-Treiber (appid.sys), wurde auch von der Lazarus-Gruppe genutzt, um das Rootkit FudModule zu installieren.




Diese Angriffe sind bedeutsam, weil sie über die typischen Bring Your Own Vulnerable Driver hinausgehen. (BYOVD) Taktik. Anstatt einen vom Angreifer eingeführten Treiber zu verwenden, Die Lazarus-Gruppe nutzte Schwachstellen in vorhandenen Treibern aus, die bereits auf Windows-Hosts vorhanden waren. Diese Methode bietet eine effiziente Möglichkeit, Sicherheitsprotokolle zu umgehen, Dadurch wird es für Sicherheitslösungen schwieriger, diese Eindringlinge zu erkennen und zu verhindern.

Weitere Untersuchungen dieser Angriffe ergaben, dass das FudModule-Rootkit typischerweise über einen Remote-Access-Trojaner übertragen wird. (RAT) genannt Kaolin RAT. Nach früheren Untersuchungen von Avast, Die Lazarus-Gruppe nutzt FudModule selektiv, Einsatz nur unter bestimmten Bedingungen, um unnötige Belastung zu vermeiden.

Da die Lazarus-Gruppe weiterhin kritische Schwachstellen ins Visier nimmt, Es ist weiterhin wichtig, dass Organisationen und Einzelpersonen wachsam bleiben und Sicherheitspatches umgehend installieren..

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau