گروه هک Lazarus کره شمالی اخیرا از یک آسیب پذیری روز صفر در درایور AFD.sys ویندوز برای افزایش سطح دسترسی و نصب روت کیت FUDModule بر روی سیستمهای هدف سوء استفاده کرده است. مایکروسافت این آسیب پذیری (CVE-2024-38193) را در Patch Tuesday ماه آگوست 2024 برطرف کرد.
CVE-2024-38193 یک آسیب پذیری [1]BYOVD در درایور تابع کمکی ویندوز برای WinSock (AFD.sys) است که به عنوان یک نقطه ورود به کرنل ویندوز در پروتکل Winsock عمل میکند. این آسیب پذیری توسط محققان Gen Digital کشف و گزارش شده است.
گروه هک Lazarus از نقص AFD.sys به عنوان یک آسیب پذیری روز صفر برای نصب روتکیت FUDModule استفاده کرده است. این روت کیت برای فرار از شناسایی با غیرفعال سازی ویژگیهای نظارتی ویندوز استفاده میشود.
این نقص امکان دسترسی غیرمجاز به مناطق حساس سیستم را برای هکرها فراهم میکند. شواهد نشان میدهد که گروه Lazarus از نوع خاصی از بدافزار به نام Fudmodule نیز برای مخفی سازی فعالیتهای خود از نرم افزارهای امنیتی استفاده کرده است.
حمله BYOVD زمانی رخ میدهد که مهاجمان درایورهایی با آسیب پذیریهای شناخته شده را بر روی ماشینهای هدف نصب میکنند و سپس آنها را برای افزایش سطح دسترسی در سطح هسته مورد سوء استفاده قرار میدهند.
هکرها اغلب از درایورهای شخص ثالث مانند درایورهای آنتی ویروس یا سخت افزار سوء استفاده میکنند که برای تعامل با کرنل نیاز به سطح دسترسی بالایی دارند.
چیزی که این آسیب پذیری خاص را خطرناکتر میکند این است که این آسیب پذیری در AFD.sys رخ داده است، درایوری که بهطور پیشفرض بر روی همه دستگاههای ویندوز نصب میشود. از این رو، هکرها توانستند این نوع حمله را بدون نیاز به نصب درایور آسیب پذیر قدیمیتر به انجام برسانند.
گروه Lazarus قبلاً نیز از درایورهای کرنل Windows appid.sys و Dell dbutil_2_3.sys در حملات BYOVD برای نصب FUDModul سوء استفاده کرده است.
[1] Bring Your Own Vulnerable Driver
