Le groupe de hackers Lazarus a récemment exploité une faille zero-day corrigée dans Microsoft Windows. La vulnérabilité, répertoriée sous le nom de CVE-2024-38193 avec un score CVSS de 7,8, est une vulnérabilité BYOVD (Bring Your Own Vulnerable Driver) pour Winsock. Continuez à lire cet avis sur les menaces de cybersécurité pour atténuer vos risques et protéger votre système.
Nature de la menace
CVE-2024-38193 est une vulnérabilité d'escalade des privilèges dans le pilote AFD.sys, qui est préinstallé sur tous les appareils Windows. Cette vulnérabilité permet aux pirates de contourner les restrictions de sécurité normales et d'obtenir un accès non autorisé à des zones sensibles du système. Elle permet également aux utilisateurs d'accéder à des zones du système qui sont habituellement restreintes.
Pourquoi est-ce important ?
L'attaque est particulièrement dangereuse car le pilote AFD.sys est un composant essentiel de Windows. Son exploitation ne nécessite pas l'introduction de pilotes supplémentaires. Cette méthode d'attaque va au-delà de l'approche typique BYOVD, où les attaquants apportent leurs propres pilotes vulnérables pour contourner les mesures de sécurité.
Cette faille n'est pas sans rappeler une précédente vulnérabilité d'escalade des privilèges, CVE-2024-21338, qui impliquait le pilote AppLocker et permettait un accès non autorisé similaire. Le groupe Lazarus a démontré une tendance à exploiter ce type de vulnérabilité, notamment en utilisant le rootkit FudModule pour échapper à la détection.
Quel est le risque ou le degré d'exposition ?
Le groupe Lazarus déploie stratégiquement le rootkit FudModule dans des circonstances spécifiques afin d'en maximiser l'impact, démontrant ainsi son approche sélective et calculée. Cette stratégie de déploiement prudente, combinée à la large portée du pilote ciblé, fait de CVE-2024-38193 une vulnérabilité critique.
Quelles sont les recommandations ?
Barracuda MSP recommande de prendre les mesures suivantes pour atténuer le risque posé par la vulnérabilité CVE-2024-38193 :
- Installez le dernier patch de mise à jour dès que possible et vérifiez que les mises à jour automatiques fonctionnent correctement afin de garantir l'application en temps voulu des correctifs de sécurité essentiels.
- Effectuez des vérifications approfondies des antécédents des candidats à l'embauche et utilisez des services de vérification de l'identité afin d'empêcher l'infiltration d'acteurs malveillants utilisant des méthodes de social engineering.
- Auditez et examinez les configurations de sécurité pour vous assurer que les contrôles d'accès et les autorisations sont correctement définis et mis à jour.
RÉFÉRENCES
Pour plus d'informations sur ces recommandations, veuillez consulter les liens suivants :
- https://thehackernews.com/2024/08/microsoft-patches-zero-day-flaw.html
- https://www.msn.com/en-us/money/other/microsoft-patches-windows-security-flaw-exploited-by-north-korean-hackers-but-is-it-too-late/ar-AA1p4o0p?ocid=BingNewsVerp
- https://www.msn.com/en-us/money/other/zero-day-windows-bug-linked-to-north-korean-hacking-group-lazarus/ar-AA1oVKtu?ocid=BingNewsVerp
- https://winbuzzer.com/2024/08/20/north-korean-hackers-use-windows-zero-day-to-deploy-rootkit-xcxwbn/
- https://www.securityweek.com/windows-zero-day-attack-linked-to-north-koreas-lazarus-apt/
- https://www.bleepingcomputer.com/news/microsoft/windows-driver-zero-day-exploited-by-lazarus-hackers-to-install-rootkit/
Cet avis sur les menaces a été publié en premier lieu sur SmarterMSP.
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
