Vulnerabilità Zero-Day di Windows CVE-2024-38193 Sfruttata Attivamente

CVE-2024-38193 è una vulnerabilità critica di tipo use-after-free nel driver di Windows afd.sys. Questa falla, con un punteggio CVSS di 7.8, consente agli aggressori di ottenere l’elevazione dei privilegi ed eseguire codice arbitrario sui sistemi vulnerabili. Scoperta da Gen Digital e ulteriormente analizzata da Luca Ginex di Exodus Intelligence, la vulnerabilità è attualmente sfruttata attivamente, con codice proof-of-concept (PoC) disponibile pubblicamente su GitHub.

Il gruppo Lazarus ha presumibilmente utilizzato questa vulnerabilità per installare malware, incluso il sofisticato FudModule, rappresentando una minaccia significativa per i sistemi Windows a livello globale.

Data 2024-12-11 15:06:48
Informazioni Fix Available, Active Exploitation

Riassunto tecnico

Comprendere CVE-2024-38193

CVE-2024-38193 è una vulnerabilità di tipo use-after-free situata nell’estensione Registered I/O (RIO) dei socket di Windows, che ottimizza la programmazione dei socket riducendo le chiamate di sistema. La falla ha origine da una race condition tra le funzioni AfdRioGetAndCacheBuffer() e AfdRioDereferenceBuffer() all’interno del driver afd.sys.

Passaggi per l’exploitation:

  • Heap Spraying: L’aggressore riempie il non-paged pool con strutture RIOBuffer fasulle e crea degli spazi per predisporre l’exploit.
  • Attivazione della vulnerabilità: Utilizzando thread concorrenti, l’aggressore annulla la registrazione dei buffer ancora in uso, provocando una condizione di use-after-free.
  • Elevazione dei privilegi: Le strutture RIOBuffer liberate vengono manipolate per ottenere scritture arbitrarie, sovrascrivendo infine la struttura SEPTOKEN_PRIVILEGES per ottenere i privilegi NT AUTHORITY\SYSTEM.

Attribuzione all’attore della minaccia

Il gruppo Lazarus, una minaccia persistente avanzata (APT) nota, ha sfruttato CVE-2024-38193 per distribuire il malware FudModule. Questo malware, rilevato già nel 2022 da AhnLab e ESET, è altamente sofisticato e consente l’accesso non autorizzato ai dati e il controllo del sistema.

Raccomandazioni

Applicare le patch: Assicurarsi che tutti i sistemi siano aggiornati con gli aggiornamenti di sicurezza di agosto 2024.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In