Aviso de Ameaça de Cibersegurança: Vulnerabilidade zero-day explorada da Microsoft

O grupo de hackers Lazarus explorou recentemente uma falha de dia zero corrigida no Microsoft Windows. A vulnerabilidade, identificada como CVE-2024-38193 com uma pontuação CVSS de 7.8, é uma vulnerabilidade Bring Your Own Vulnerable Driver (BYOVD) para o Winsock. Continue a ler este Aviso de Ameaça de Cibersegurança para mitigar o seu risco e proteger o seu sistema.

Qual é a ameaça?

CVE-2024-38193 é uma vulnerabilidade de escalonamento de privilégios no driver AFD.sys, que vem pré-instalado em todos os dispositivos Windows. Esta vulnerabilidade permite que atacantes contornem as restrições normais de segurança e obtenham acesso não autorizado a áreas sensíveis do sistema. Também permite que os utilizadores acedam a áreas do sistema que são normalmente restritas.

Por que é digno de nota?

O ataque é particularmente perigoso porque o driver AFD.sys é um componente central do Windows. A sua exploração não requer a introdução de drivers adicionais. Este método de ataque vai além da abordagem típica BYOVD, onde os atacantes trazem os seus próprios drivers vulneráveis para contornar as medidas de segurança.

A falha é reminiscente de uma vulnerabilidade de escalonamento de privilégios anterior, CVE-2024-21338, que envolvia o driver AppLocker e permitia acesso não autorizado semelhante. O Grupo Lazarus demonstrou um padrão de exploração de tais falhas de escalonamento de privilégios, incluindo o uso do rootkit FudModule para evadir a deteção.

Qual é a exposição ou o risco?

O Lazarus Group implementa estrategicamente o rootkit FudModule sob circunstâncias específicas para maximizar o seu impacto, demonstrando a sua abordagem seletiva e calculada. Esta estratégia de implementação cuidadosa, combinada com o amplo alcance do driver afetado, torna o CVE-2024-38193 uma vulnerabilidade crítica.

Quais são as recomendações?

A Barracuda MSP recomenda as seguintes ações para mitigar qualquer risco causado pelo CVE-2024-38193:

• Instale a última atualização o mais rapidamente possível e verifique se as atualizações automáticas estão a funcionar corretamente para garantir a aplicação atempada de correções críticas de segurança.
• Realize verificações de antecedentes minuciosas sobre potenciais contratados e utilize serviços de verificação de identidade para prevenir infiltrações por atores de ameaça que utilizam táticas de engenharia social.
• Audite e reveja as configurações de segurança para garantir que os controlos de acesso e permissões estão definidos e atualizados corretamente.

Referências

Para obter informações mais detalhadas sobre as recomendações acima, por favor visite os seguintes links:

• https://thehackernews.com/2024/08/microsoft-patches-zero-day-flaw.html
• https://www.msn.com/en-us/money/other/microsoft-patches-windows-security-flaw-exploited-by-north-korean-hackers-but-is-it-too-late/ar-AA1p4o0p?ocid=BingNewsVerp
• https://www.msn.com/en-us/money/other/zero-day-windows-bug-linked-to-north-korean-hacking-group-lazarus/ar-AA1oVKtu?ocid=BingNewsVerp
• https://winbuzzer.com/2024/08/20/north-korean-hackers-use-windows-zero-day-to-deploy-rootkit-xcxwbn/
• https://www.securityweek.com/windows-zero-day-attack-linked-to-north-koreas-lazarus-apt/
• https://www.bleepingcomputer.com/news/microsoft/windows-driver-zero-day-exploited-by-lazarus-hackers-to-install-rootkit/

Este Aviso de Ameaça foi originalmente publicado em SmarterMSP.