ISGroup Cybersicherheitsberatung

Windows Zero-Day-Schwachstelle CVE-2024-38193 wird aktiv ausgenutzt

CVE-2024-38193 ist eine kritische Use-After-Free-Schwachstelle im Windows-Treiber afd.sys. Diese Sicherheitslücke mit einem CVSS-Score von 7,8 ermöglicht es Angreifern, eine Rechteausweitung zu erlangen und beliebigen Code auf anfälligen Systemen auszuführen. Die Schwachstelle wurde von Gen Digital entdeckt und von Luca Ginex von Exodus Intelligence weiter analysiert. Sie wird derzeit aktiv ausgenutzt, und ein Proof-of-Concept (PoC)-Code ist öffentlich auf GitHub verfügbar.

Die Lazarus-Gruppe hat diese Schwachstelle mutmaßlich genutzt, um Malware zu installieren, darunter das hochentwickelte FudModule, was eine erhebliche Bedrohung für Windows-Systeme weltweit darstellt.

Datum11.12.2024 15:06:48
Informationen
  • Fix verfügbar
  • Aktive Ausnutzung

Technische Zusammenfassung

Verständnis von CVE-2024-38193

CVE-2024-38193 ist eine Use-After-Free-Schwachstelle in der Registered I/O (RIO)-Erweiterung von Windows-Sockets, die die Socket-Programmierung durch Reduzierung von Systemaufrufen optimiert. Die Schwachstelle entsteht durch eine Race Condition zwischen den Funktionen AfdRioGetAndCacheBuffer() und AfdRioDereferenceBuffer() innerhalb des Treibers afd.sys.

Schritte zur Ausnutzung:

  • Heap Spraying: Der Angreifer füllt den Non-Paged Pool mit manipulierten RIOBuffer-Strukturen und schafft Lücken, um den Exploit vorzubereiten.
  • Auslösen der Schwachstelle: Durch die Verwendung konkurrierender Threads hebt der Angreifer die Registrierung von Puffern auf, die noch in Gebrauch sind, was zu einer Use-After-Free-Bedingung führt.
  • Rechteausweitung: Die freigegebenen RIOBuffer-Strukturen werden manipuliert, um beliebige Schreibzugriffe zu erhalten, wodurch letztendlich die Struktur SEPTOKEN_PRIVILEGES überschrieben wird, um NT AUTHORITY\SYSTEM-Rechte zu erlangen.

Zuschreibung an den Bedrohungsakteur

Die Lazarus-Gruppe, eine bekannte Advanced Persistent Threat (APT), hat CVE-2024-38193 ausgenutzt, um die FudModule-Malware zu verbreiten. Diese Malware, die bereits 2022 von AhnLab und ESET entdeckt wurde, ist hochgradig komplex und ermöglicht unbefugten Datenzugriff sowie die Kontrolle über das System.

Empfehlungen

Patches anwenden: Stellen Sie sicher, dass alle Systeme mit den Sicherheitsupdates vom August 2024 auf dem neuesten Stand sind.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *