- 13,854
- 20
- 8 Ноя 2022
Lazarus эксплуатирует 0day для установки руткита.
Группировка Lazarus использовала уязвимость нулевого дня в драйвере Windows AFD.sys для повышения привилегий и установки руткита FUDModule, который отключает функции мониторинга Windows и позволяет скрывать вредоносную активность. Драйвер Windows AFD.sys используется для работы с протоколом Winsock и служит точкой входа в ядро операционной системы.
Недостаток CVE-2024-38193 (оценка CVSS: 7.8) Для просмотра ссылки Войдиили Зарегистрируйся в рамках августовского Patch Tuesday. CVE-2024-38193 выделяется на фоне остальных тем, что позволяет провести атаку типа Bring Your Own Vulnerable Driver (BYOVD). В этом случае злоумышленники устанавливают на целевые системы драйверы с уязвимостями, чтобы затем использовать их для получения привилегий на уровне ядра.
Особая опасность уязвимости в AFD.sys заключается в том, что драйвер установлен по умолчанию на всех устройствах с Windows. Это позволяет хакерам атаковать системы, не прибегая к установке старых уязвимых драйверов, которые могут быть заблокированы и легко обнаружены защитными механизмами Windows. Таким образом, эксплуатация уязвимости становится менее заметной и более эффективной.
Впервые уязвимость Для просмотра ссылки Войдиили Зарегистрируйся компания Gen Digital. Специалисты отметили, что группа Lazarus использовала ошибку для установки руткита FUDModule, который способен скрывать свои действия от средств защиты. Эксперты подчёркивают, что такие атаки представляют серьёзную угрозу для безопасности, так как они позволяют злоумышленникам получить несанкционированный доступ к критически важным областям системы.
Gen Digital не разглашает подробности о том, кто стал целью атаки и когда она произошла. Стоит отметить, что группа Lazarus уже использовала подобные методы в прошлом, эксплуатируя уязвимые драйверы Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся для установки FUDModule.
Группировка Lazarus использовала уязвимость нулевого дня в драйвере Windows AFD.sys для повышения привилегий и установки руткита FUDModule, который отключает функции мониторинга Windows и позволяет скрывать вредоносную активность. Драйвер Windows AFD.sys используется для работы с протоколом Winsock и служит точкой входа в ядро операционной системы.
Недостаток CVE-2024-38193 (оценка CVSS: 7.8) Для просмотра ссылки Войди
Особая опасность уязвимости в AFD.sys заключается в том, что драйвер установлен по умолчанию на всех устройствах с Windows. Это позволяет хакерам атаковать системы, не прибегая к установке старых уязвимых драйверов, которые могут быть заблокированы и легко обнаружены защитными механизмами Windows. Таким образом, эксплуатация уязвимости становится менее заметной и более эффективной.
Впервые уязвимость Для просмотра ссылки Войди
Gen Digital не разглашает подробности о том, кто стал целью атаки и когда она произошла. Стоит отметить, что группа Lazarus уже использовала подобные методы в прошлом, эксплуатируя уязвимые драйверы Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
