O grupo Lazarus, um coletivo de hackers com laços com a Coreia do Norte, foi identificado alavancando uma falha de dia zero no driver Home windows AFD.sys para elevar privilégios e instalar o rootkit FUDModule. A vulnerabilidade, catalogada como CVE-2024-38193, já foi corrigida pela Microsoft.
Detalhes técnicos do Exploit
O defeito está no Home windows Ancillary Operate Driver for WinSock (AFD.sys), uma interface essencial entre o protocolo Winsock e o Kernel do Home windows. Luigino Camastra e Milanek, da Gen Digital, descobriram que os invasores do Lazarus empregaram essa falha para introduzir o rootkit FUDModule, que é projetado para ignorar a detecção desabilitando funções de monitoramento de segurança. A estratégia de ataque — conhecida como Deliver Your Personal Susceptible Driver (BYOVD) — envolve usar um driver comprometido para obter acesso em nível de kernel.
Esta não é a primeira vez que o grupo Lazarus explora tais vulnerabilidades. Seus esforços anteriores incluem mirar nos drivers do kernel appid.sys e dbutil_2_3.sys da Dell em ataques BYOVD para a mesma implantação de rootkit. Esses ataques representam riscos severos devido à presença onipresente do driver AFD.sys em sistemas Home windows, permitindo uma exploração mais fácil sem exigir a instalação de drivers obsoletos e vulneráveis que podem ser bloqueados.
Setores Alvo e Histórico de Ataques
O grupo Lazarus é famoso por ataques aos setores financeiro e de criptomoedas. Seu portfólio inclui a violação da Sony Photos em 2014 e o ataque do ransomware WannaCry em 2017. Mais recentemente, em abril de 2022, eles foram implicados em um grande roubo de criptomoedas do Axie Infinity, roubando mais de US$ 617 milhões. O governo dos EUA anunciou uma recompensa de até US$ 5 milhões por informações que levem à apreensão desses hackers.
A identificação desta vulnerabilidade e seu uso pelo grupo Lazarus destaca a ameaça persistente de cibercriminosos patrocinados pelo estado. Pesquisadores enfatizam a natureza crítica desta falha e suas potenciais ramificações para a segurança cibernética international. A Microsoft pediu aos usuários que atualizassem seus sistemas sem demora para mitigar possíveis explorações.
Chamada para ação para usuários
A correção da Microsoft para CVE-2024-38193 foi incluída em seu Patch Tuesday de agosto de 2024, que também abordou outras sete vulnerabilidades de dia zero. Os usuários são fortemente incentivados a aplicar esses patches para proteger seus sistemas. O direcionamento contínuo de vulnerabilidades do Home windows pelo grupo Lazarus ressalta a importância de atualizações de software program oportunas e protocolos de segurança robustos.
