Die Hackergruppe Lazarus hat kürzlich eine gepatchte Zero-Day-Sicherheitslücke in Microsoft Windows ausgenutzt. Bei der Sicherheitslücke mit der Bezeichnung CVE-2024-38193 und einem CVSS-Score von 7,8 handelt es sich um eine Bring Your Own Vulnerable Driver-(BYOVD-)Sicherheitslücke für Winsock. Lesen Sie diese Hinweise zu Cybersecurity-Bedrohungen weiter, um Ihr Risiko zu minimieren und Ihr System zu schützen.
Welcher Art ist die Bedrohung?
CVE-2024-38193 ist eine Schwachstelle für die Ausweitung von Privilegien im Treiber AFD.sys, der auf allen Windows-Geräten vorinstalliert ist. Diese Sicherheitslücke ermöglicht es Angreifern, die normalen Sicherheitsbeschränkungen zu umgehen und unbefugten Zugriff auf sensible Systembereiche zu erhalten. Sie ermöglicht Benutzern auch den Zugriff auf Systembereiche, die normalerweise eingeschränkt sind.
Warum sollte man aufmerksam sein?
Der Angriff ist besonders gefährlich, weil der Treiber AFD.sys eine Kernkomponente von Windows ist. Seine Nutzung erfordert nicht die Einführung zusätzlicher Treiber. Diese Angriffsmethode geht über den typischen BYOVD-Ansatz hinaus, bei dem Angreifer ihre eigenen anfälligen Treiber mitbringen, um Sicherheitsmaßnahmen zu umgehen.
Die Schwachstelle erinnert an eine frühere Schwachstelle zur Privilegienerweiterung, CVE-2024-21338, die den AppLocker-Treiber betraf und einen ähnlichen unbefugten Zugriff ermöglichte. Die Lazarus Group hat gezeigt, dass sie solche Schwachstellen zur Privilegienerweiterung ausnutzt und unter anderem das Rootkit FudModule verwendet, um einer Entdeckung zu umgehen.
Wie hoch ist Risiko einer Exposition?
Die Lazarus Group setzt das FudModule Rootkit strategisch unter bestimmten Umständen ein, um seine Wirkung zu maximieren, was ihre selektive und kalkulierte Vorgehensweise verdeutlicht. Diese sorgfältige Implementierungsstrategie in Verbindung mit der großen Reichweite des betroffenen Treibers macht CVE-2024-38193 zu einer kritischen Sicherheitslücke.
Welche Empfehlungen haben Sie?
Barracuda MSP empfiehlt die folgenden Maßnahmen, um das durch CVE-2024-38193 verursachte Risiko zu mindern:
- Installieren Sie den neuesten Update-Patch so bald wie möglich, und stellen Sie sicher, dass automatische Updates ordnungsgemäß funktionieren, um die rechtzeitige Anwendung kritischer Sicherheitsupdates zu gewährleisten.
- Führen Sie gründliche Hintergrundüberprüfungen bei potenziellen Mitarbeitern durch und nutzen Sie Dienste zur Identitätsüberprüfung, um das Eindringen von Bedrohungsakteuren mit Social-Engineering-Methoden zu verhindern.
- Überwachen und überprüfen Sie Sicherheitskonfigurationen, um sicherzustellen, dass Zugriffssteuerungen und Berechtigungen korrekt festgelegt und aktualisiert werden.
Referenzen
Ausführlichere Informationen zu den oben genannten Empfehlungen finden Sie unter den folgenden Links:
- https://thehackernews.com/2024/08/microsoft-patches-zero-day-flaw.html
- https://www.msn.com/en-us/money/other/microsoft-patches-windows-security-flaw-exploited-by-north-korean-hackers-but-is-it-too-late/ar-AA1p4o0p?ocid=BingNewsVerp
- https://www.msn.com/en-us/money/other/zero-day-windows-bug-linked-to-north-korean-hacking-group-lazarus/ar-AA1oVKtu?ocid=BingNewsVerp
- https://winbuzzer.com/2024/08/20/north-korean-hackers-use-windows-zero-day-to-deploy-rootkit-xcxwbn/
- https://www.securityweek.com/windows-zero-day-attack-linked-to-north-koreas-lazarus-apt/
- https://www.bleepingcomputer.com/news/microsoft/windows-driver-zero-day-exploited-by-lazarus-hackers-to-install-rootkit/
Dieser Bedrohungshinweis wurde ursprünglich bei SmarterMSP veröffentlicht.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
