Уязвимостта, проследена като CVE-2024-38193 и отбелязана като „активно експлоатирана“ от Microsoft, дава възможност за получаване на системни привилегии в най-новите операционни системи Windows.
Изследователи по сигурността от Gen Threat Labs свързват един от експлоатираните нулеви дни, поправени от Microsoft миналата седмица, със севернокорейската APT група Lazarus.
Уязвимостта, проследена като CVE-2024-38193 и отбелязана като „активно експлоатирана“ от Microsoft, позволява придобиването на привилегии на SYSTEM в най-новите операционни системи Windows.
Компанията Gen, която е обединение на потребителските марки Norton, Avast, LifeLock и Avira, публикува оскъдна бележка, в която се свързва експлоатирането с Lazarus чрез използването на руткита FudModule. Компанията обаче не публикува никакви индикатори или техническа документация в подкрепа на връзката.
„В началото на юни Луиджино Камастра и Миланек откриха, че групата Lazarus експлоатира скрит недостатък в сигурността на важна част от Windows, наречена драйвер AFD.sys. Този недостатък им позволяваше да получат неоторизиран достъп до чувствителни системни области. Открихме също така, че те са използвали специален вид зловреден софтуер, наречен Fudmodule, за да скрият действията си от софтуера за сигурност“, заявиха от компанията, без да предоставят допълнителни подробности.
Avast по-рано документира FudModule като част от инструментариума Lazarus APT, който включваше експлойт от нулев ден за Windows от администратор до ядрото, датиращ от февруари.
Това е един от шестте нулеви дни, отбелязани като експлоатирани от Microsoft в пакета Patch Tuesday за август. Експерти по сигурността смятат също, че втори недостатък (CVE-2024-38178) се използва от севернокорейски APT групи за насочване към жертви в Южна Корея.
Този бъг – уязвимост, свързана с повреда на паметта, в енджина за скриптове на Windows – позволява атаки с отдалечено изпълнение на код, ако автентициран клиент бъде подмамен да щракне върху връзка. Успешното използване на тази уязвимост изисква нападателят първо да подготви целта, така че тя да използва Edge в режим на Internet Explorer.
Този нулев ден на Scripting Engine беше докладван от Ahn Lab и Националния център за киберсигурност на Южна Корея, което предполага, че е използван в компрометиране на APT от национална държава. Microsoft не публикува IOC (индикатори за компрометиране) или други данни, които да помогнат на защитниците да издирват признаци на заразяване.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.