本月微软在发布的安全更新中修复多个高危安全漏洞,其中部分漏洞已经遭到黑客利用,例如CVE-2024-38193漏洞就已经被朝鲜黑客集团拉撒路(Lazarus)利用发起攻击。该漏洞属于典型的释放后使用(Use-after-Free)类别,位于Windows辅助功能驱动程序(AFD.sys)的二进制文件中,该文件也是WinsockAPI的内核接入点。
在成功开采并利用该漏洞后黑客可以获得系统级操作权限,包括Windows系统中最大的系统权限也就是SYSTEM权限以及可以执行不受信任的代码。
安全研究人员称发起攻击的乃是拉撒路集团:
微软在漏洞安全公告中确实提到该漏洞已经遭到积极利用,但并未透露利用该漏洞的黑客集团代号,不过最初发现该漏洞的安全研究人员称发起攻击的是拉撒路集团。
Gen(发现并向微软报告漏洞的安全研究公司)表示,该漏洞允许攻击者绕过正常的安全限制并访问大多数用户和管理员都无法访问的敏感系统区域,这种攻击复杂而又狡猾,在黑市上可能价值数十万美元。
通常情况下开采此类漏洞并发起攻击的黑客都有强大的背景,并且也只对特定目标发起攻击,例如从事加密货币工程(即开发加密货币系统的工程师们)或航空领域工作的人。
研究人员透露自己的溯源和追踪结果,拉撒路集团正在利用该漏洞安装名为FudModule的恶意软件,该恶意软件非常复杂,在2022年时已经被AhnLab和ESET的研究人员发现。
拉撒路部署的属于rookit恶意软件:
FudModule是安全研究人员为这款恶意软件起得名字,其导出表中有个文件名为FudModule.dll,所以就拿这个名字对这个恶意软件进行命名。
捷克安全公司Avast则在今年早些时候发现了FudModule的变种版本,该变种可以绕过Windows系统的关键防御措施,例如绕过端点检测和响应以及受保护的进程。
值得注意的是Aavst也透露在该公司向微软通报后,后者花了6个月才完成漏洞的修复,这导致拉撒路集团的攻击时间延长了半年。
这个变种版本还使用appid.sys中的漏洞进行安装,该驱动文件是WindowsAppLocker服务的驱动程序,该服务也是被Windows系统预装的,因此黑客用来安装变种版本会变得更轻松。