本月微软在发布的安全更新中修复多个高危安全漏洞,其中部分漏洞已经遭到黑客利用,例如 CVE-2024-38193 漏洞就已经被朝鲜黑客集团拉撒路 (Lazarus) 利用发起攻击。该漏洞属于典型的释放后使用 (Use-after-Free) 类别,位于 Windows 辅助功能驱动程序 (AFD.sys) 的二进制文件中,该文件也是 Winsock API 的内核接入点。
在成功开采并利用该漏洞后黑客可以获得系统级操作权限,包括 Windows 系统中最大的系统权限也就是 SYSTEM 权限以及可以执行不受信任的代码。
安全研究人员称发起攻击的乃是拉撒路集团:
微软在漏洞安全公告中确实提到该漏洞已经遭到积极利用,但并未透露利用该漏洞的黑客集团代号,不过最初发现该漏洞的安全研究人员称发起攻击的是拉撒路集团。
Gen (发现并向微软报告漏洞的安全研究公司) 表示,该漏洞允许攻击者绕过正常的安全限制并访问大多数用户和管理员都无法访问的敏感系统区域,这种攻击复杂而又狡猾,在黑市上可能价值数十万美元。
通常情况下开采此类漏洞并发起攻击的黑客都有强大的背景,并且也只对特定目标发起攻击,例如从事加密货币工程 (即开发加密货币系统的工程师们) 或航空领域工作的人。
研究人员透露自己的溯源和追踪结果,拉撒路集团正在利用该漏洞安装名为 FudModule 的恶意软件,该恶意软件非常复杂,在 2022 年时已经被 AhnLab 和 ESET 的研究人员发现。
拉撒路部署的属于 rookit 恶意软件:
FudModule 是安全研究人员为这款恶意软件起得名字,其导出表中有个文件名为 FudModule.dll,所以就拿这个名字对这个恶意软件进行命名。
捷克安全公司 Avast 则在今年早些时候发现了 FudModule 的变种版本,该变种可以绕过 Windows 系统的关键防御措施,例如绕过端点检测和响应以及受保护的进程。
值得注意的是 Aavst 也透露在该公司向微软通报后,后者花了 6 个月才完成漏洞的修复,这导致拉撒路集团的攻击时间延长了半年。
这个变种版本还使用 appid.sys 中的漏洞进行安装,该驱动文件是 Windows AppLocker 服务的驱动程序,该服务也是被 Windows 系统预装的,因此黑客用来安装变种版本会变得更轻松。