Windows 零日漏洞 CVE-2024-38193 在野外被利用：PoC 发布

在 afd.sys Windows 驱动程序中发现了一个严重的释放后使用漏洞，编号为 CVE-2024-38193。此漏洞的 CVSS 评分为 7.8，对 Windows 系统构成重大威胁，可能允许攻击者提升权限并执行任意代码。Exodus Intelligence 的安全研究员 Luca Ginex 对此漏洞进行了深入分析，对其利用过程提供了宝贵的见解。

发现并向微软报告该漏洞的安全研究公司 Gen Digital  表示，该漏洞允许攻击者绕过正常的安全限制，访问大多数用户和管理员通常无法访问的敏感系统区域。这种攻击既复杂又狡猾，在黑市上可能价值数十万美元。

研究人员披露了他们的追踪和归因结果，发现 Lazarus Group 一直在利用此漏洞安装名为 FudModule 的恶意软件。该恶意软件非常复杂，最初于 2022 年被 AhnLab 和 ESET 的研究人员发现。

CVE-2024-38193 位于 Windows 套接字的已注册 I/O (RIO) 扩展中，该功能旨在通过减少系统调用来优化套接字编程。该漏洞源于 afd.sys 驱动程序中 AfdRioGetAndCacheBuffer() 和 AfdRioDereferenceBuffer() 函数之间的竞争条件。正如 Ginex所解释的那样，“这些函数之间的竞争条件允许恶意用户强制 AfdRioGetAndCacheBuffer() 函数对已由 AfdRioDereferenceBuffer() 函数释放的已注册缓冲区结构进行操作。”

CVE-2024-38193 的利用涉及多阶段过程，正如 Ginex 所述：

• 堆喷射：攻击者使用伪造的 RIOBuffer 结构喷射非分页池并创建漏洞，为触发漏洞铺平道路。
• 触发漏洞：通过创建两个并发线程，攻击者在缓冲区仍在使用时取消注册，从而导致释放后使用的情况。
• 权限提升：攻击者利用释放的 RIOBuffer 结构来控制缓存的内容并提升权限。

该漏洞利用此任意写入功能覆盖 _SEP_TOKEN_PRIVILEGES 结构，从而授予 NT AUTHORITYSYSTEM 权限。

独立安全研究员 Nephster在 GitHub 上发布了CVE-2024-38193 漏洞的概念验证 (PoC) 代码，进一步加剧了该漏洞的潜在威胁。该 PoC 演示了攻击者如何在未打补丁的系统上可靠地实现特权提升。

• https://github.com/killvxk/CVE-2024-38193-Nephster

此漏洞已在 2024 年 8 月补丁星期二修复。强烈建议用户应用此补丁以降低潜在攻击的风险。CVE-2024-38193 的利用可能导致权限提升，使攻击者能够未经授权访问敏感数据并可能完全控制系统。