一个关键的Use-After-Free（释放后使用）漏洞CVE-2024-38193，已在Windows驱动程序afd.sys中被发现。这个漏洞的CVSS评分为7.8，对Windows系统构成重大威胁，可能允许攻击者提升权限并执行任意代码。安全研究员Luca Ginex来自Exodus Intelligence，对这个漏洞进行了深入分析，并提供了关于其利用过程的宝贵见解。

Gen Digital（发现并向微软报告该漏洞的安全研究公司）表示，这个缺陷使攻击者能够绕过正常的安全限制，访问通常对大多数用户和管理员不可及的敏感系统区域。这种攻击既复杂又狡猾，在黑市上可能价值数十万美元。

研究人员披露了追踪和归因的结果，揭示朝鲜黑客组织Lazarus Group一直在利用这个漏洞安装名为FudModule的恶意软件。这种恶意软件极其复杂，最初是由AhnLab和ESET的研究人员在2022年检测到的。

CVE-2024-38193位于Windows套接字的注册I/O（RIO）扩展中，这是一个旨在通过减少系统调用来优化套接字编程的功能。漏洞源于afd.sys驱动程序中AfdRioGetAndCacheBuffer()和AfdRioDereferenceBuffer()函数之间的竞争条件。正如Ginex解释的："这些函数之间的竞争条件使恶意用户能够强制AfdRioGetAndCacheBuffer()函数对已被AfdRioDereferenceBuffer()函数释放的注册缓冲区结构进行操作。"

CVE-2024-38193的利用涉及多阶段过程：

1. 堆喷射： 攻击者用虚假的RIOBuffer结构喷洒非分页池，并创建空洞，为触发漏洞铺平道路。

2. 触发漏洞： 通过创建两个并发线程，攻击者在缓冲区仍在使用时将其注销，从而导致释放后使用的场景。

3. 权限提升： 攻击者利用已释放的RIOBuffer结构控制缓存内容并提升权限。

该漏洞利用了任意写入的能力，通过覆盖_SEP_TOKEN_PRIVILEGES结构来获取NT AUTHORITYSYSTEM权限。

独立安全研究员Nephster已在GitHub上发布了CVE-2024-38193的概念验证（PoC）代码，进一步提升了其潜在威胁。PoC演示了攻击者如何在未打补丁的系统上可靠地实现权限提升。

这个漏洞已在2024年8月的补丁周二中得到修复。强烈建议用户应用补丁以降低潜在攻击的风险。CVE-2024-38193的利用可能导致权限提升，使攻击者能够获得对敏感数据的未授权访问，并可能完全控制系统。

PoC

https://github.com/killvxk/CVE-2024-38193-Nephster

参考

• https://blog.exodusintel.com/2024/12/02/windows-sockets-from-registered-i-o-to-system-privileges/
• https://www.gendigital.com/blog/insights/research/protecting-windows-users
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38193
• https://www.gendigital.com/blog/insights/research/lazarus-group