近日,微软被曝Windows AFD.sys漏洞(编号:CVE-2024-38193)正在被黑客组织利用。该漏洞被归类为自带易受攻击驱动程序(BYOVD)漏洞,可影响Windows套接字的注册I/O(RIO)扩展,并允许攻击者远程接管整个系统。
漏洞影响版本包括Windows 11(ARM64、x64,多个版本)、Windows 10(ARM64、x64、32位,多个版本)、Windows Server 2008、2012、2016、2019、2022(多个版本)。
目前,已有迹象表明黑客组织正在利用该漏洞发起攻击,例如朝鲜黑客组织Lazarus就是其中之一,其安装名为FUDModule的根工具包(rootkit),可在目标系统上获得最高权限。2024年8月,微软发布安全更新已经修复该漏洞,强烈建议组织及时进行修复。
漏洞概述
CVE-2024-38193漏洞存在于Windows辅助功能驱动程序(AFD.sys)中。AFD.sys是Winsock协议栈的关键组件之一,处理底层网络调用,并在内核模式下执行操作。漏洞的根本原因是AFD.sys在处理特定系统调用时缺乏适当的边界检查,导致攻击者可以构造恶意输入,触发内存溢出或其他未定义行为,从而绕过安全检查,提升权限。由于AFD.sys在所有Windows系统中广泛部署,这使得该漏洞特别危险。
漏洞利用过程
漏洞触发
攻击者首先通过恶意应用程序或远程代码执行方式,向AFD.sys驱动程序发送恶意构造的系统调用请求。通过精心构造的输入,攻击者可以让AFD.sys在内核模式下执行越权操作。
这种攻击方式利用了Windows内核的漏洞,能够在用户态和内核态之间绕过安全边界,执行未授权的操作。
权限提升
一旦漏洞触发,攻击者可以利用漏洞执行任意代码,并获得SYSTEM权限。通过这种方式,攻击者能够完全控制受影响的设备,部署恶意软件或修改系统配置。获得SYSTEM权限后,攻击者可以执行一系列高级操作,包括禁用安全软件、修改系统文件和执行其他恶意活动。
FUDModule根工具包的安装
获得SYSTEM权限后,攻击者会安装FUDModule根工具包。FUDModule是一种专门设计用于隐藏攻击痕迹、绕过安全监控的复杂恶意软件。通过关闭Windows的监控功能,FUDModule可以让攻击者在受害者系统中保持长期隐蔽。FUDModule的存在使得攻击者能够在不被发现的情况下持续控制目标系统,增加了防御的难度。
修复建议
微软已经发布了针对CVE-2024-38193的安全补丁,覆盖了多个Windows版本。建议所有用户和组织尽快应用补丁,避免系统遭到利用。及时应用补丁是防止漏洞利用的最有效手段之一,用户应确保系统和应用程序都安装了最新的安全更新。
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。 |
END
原文始发于微信公众号(信息安全大事件):立即修复,微软驱动程序关键漏洞已被APT组织利用
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论