Търсене
Close this search box.

Уязвимостта, проследена като CVE-2024-38193 и отбелязана като „активно експлоатирана“ от Microsoft, дава възможност за получаване на системни привилегии  в най-новите операционни системи Windows.

Изследователи по сигурността от Gen Threat Labs свързват един от експлоатираните нулеви дни, поправени от Microsoft миналата седмица, със севернокорейската APT група Lazarus.

Уязвимостта, проследена като CVE-2024-38193 и отбелязана като „активно експлоатирана“ от Microsoft, позволява придобиването на привилегии на SYSTEM в най-новите операционни системи Windows.

Компанията Gen, която е обединение на потребителските марки Norton, Avast, LifeLock и Avira, публикува оскъдна бележка, в която се свързва експлоатирането с Lazarus чрез използването на руткита FudModule. Компанията обаче не публикува никакви индикатори или техническа документация в подкрепа на връзката.

„В началото на юни Луиджино Камастра и Миланек откриха, че групата Lazarus експлоатира скрит недостатък в сигурността на важна част от Windows, наречена драйвер AFD.sys. Този недостатък им позволяваше да получат неоторизиран достъп до чувствителни системни области. Открихме също така, че те са използвали специален вид зловреден софтуер, наречен Fudmodule, за да скрият действията си от софтуера за сигурност“, заявиха от компанията, без да предоставят допълнителни подробности.

Avast по-рано документира FudModule като част от инструментариума Lazarus APT, който включваше експлойт от нулев ден за Windows от администратор до ядрото, датиращ от февруари.

Това е един от шестте нулеви дни, отбелязани като експлоатирани от Microsoft в пакета Patch Tuesday за август. Експерти по сигурността смятат също, че втори недостатък (CVE-2024-38178) се използва от севернокорейски APT групи за насочване към жертви в Южна Корея.

Този бъг – уязвимост, свързана с повреда на паметта, в енджина за скриптове на Windows – позволява атаки с отдалечено изпълнение на код, ако автентициран клиент бъде подмамен да щракне върху връзка. Успешното използване на тази уязвимост изисква нападателят първо да подготви целта, така че тя да използва Edge в режим на Internet Explorer.

Този нулев ден на Scripting Engine беше докладван от Ahn Lab и Националния център за киберсигурност на Южна Корея, което предполага, че е използван в компрометиране на APT от национална държава. Microsoft не публикува IOC (индикатори за компрометиране) или други данни, които да помогнат на защитниците да издирват признаци на заразяване.

 

Източник: По материали от Интернет

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
Бъдете социални
Още по темата
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
09/10/2024

Microsoft потвърждава експл...

Във вторник Microsoft издаде спешно предупреждение...
07/10/2024

Comcast и Truist Bank постр...

Comcast Cable Communications и Truist Bank...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!