[English]Zum 13. August 2024 hat Microsoft die 0-day-Schwachstelle CVE-2024-38193 im Treiber afd.sys mit einem Sicherheitsupdate geschlossen. Dort hieß es vage, dass diese Schwachstelle in freier Wildbahn ausgenutzt werde. Jetzt liegen mir Informationen vor, dass Cyberangreifer der in Nordkorea verorteten Lazarus-Gruppe auf diese Schwachstelle aufsetzen. Ich ziehe mal einige Informationen zu diesem Sachverhalt in einem separaten Blog-Beitrag heraus.
Anzeige
Hinweise zu Schwachstelle CVE-2024-38193
Die Schwachstelle CVE-2024-38193 findet sich im Treiber für Winsock (afd.sys), der als "Windows Ancillary Function Driver for WinSock" bezeichnet wird. Im Treiber existieren zwei Schwachstellen CVE-2024-38141 und CVE-2024-38193, die eine Ausweitung der Privilegien (Elevation of Privilege, EoP) ermöglichen. Beide Schwachstellen wurden mit dem CVEv3 Score 7.8 klassifiziert und als important eingestuft.
Beide Sicherheitslücken können es einem Angreifer ermöglichen, Rechte für SYSTEM zu erlangen. CVE-2024-38141 wird als "Exploitation More Likely" eingestuft, und CVE-2024-38193 wurde Berichten zufolge als Zero-Day-Schwachstelle in freier Wildbahn ausgenutzt. Ich hatte im Blog-Beitrag Microsoft Security Update Summary (9. Juli 2024) auf diesen Sachverhalt hingewiesen. Microsoft sollte die Schwachstellen in den Updates vom 13. August 2024 geschlossen haben – die Windows August 2024-Updates werden in den Patchday-Artikeln am Beitragsende angegeben.
Lazarus nutzt die Schwachstelle aus
Über nachfolgenden Tweet bin ich nun auf den Beitrag Microsoft Patches Zero-Day Flaw Exploited by North Korea's Lazarus Group von Hacker News gestoßen, die das Thema aufgegriffen haben.
Anzeige
Entdeckt wurde die Schwachstelle Anfang Juni 2024 von den Sicherheitsforschern Luigino Camastra und Milánek von Gen Digital. Gen Digital ist Eigentümer einer Reihe von Sicherheits- und Tool-Marken wie Norton, Avast, Avira, AVG, ReputationDefender und CCleaner. Das Unternehmen hat die Details dann in diesem Blog-Beitrag veröffentlicht.
Aufgefallen ist das Ganze bei der Analyse von Angriffen der Lazarus-Gruppe, die die bisher unbekannte 0-day-Schwachstelle im Windows AFD.sys-Treiber, ausnutzte. Diese Schwachstelle ermöglichte es den Angreifer, unbefugten Zugriff auf sensible Systembereiche des Betriebssystems und SYSTEM-Rechte zu erlangen, auf die Anwender und Administratoren meist keinen Zugriff haben.
Diese Art von Angriff ist laut Sicherheitsforscher sowohl raffiniert als auch einfallsreich und kann auf dem Schwarzmarkt mehrere hunderttausend Dollar kosten. Dies Sicherheitsforscher finden die Schwachstelle besorgniserregend, da diese es ermöglicht, Angriffe auf Personen in sensiblen Bereichen auszuführen. Dies wären beispielsweise in der Kryptowährungsentwicklung oder in der Luft- und Raumfahrt. Über die Schwachstelle können die Angreifer sich Zugang zu den Netzwerken von Unternehmen verschaffen, um beispielsweise Kryptowährungsbeträge in Wallets zu stehlen. Das ist eine bekannte Taktik Nordkoreas, um mit dieser Beute weitere Operationen zu finanzieren.
Die Sicherheitsforscher fanden auch heraus, dass sie eine spezielle Art von Malware namens Fudmodule verwendeten, um die Aktivitäten der Angreifer vor Sicherheitssoftware zu verbergen. Inzwischen hat Microsoft die Schwachstelle durch ein Sicherheitsupdate geschlossen – Administratoren sollten die Systeme aber zeitnah patchen (sofern nicht längst geschehen). Leider fährt der Artikel von Gen Digital keine Details über den Indicator of Compromise (IoC) auf, mit dem man bereits infizierte Systeme erkennen könnte.
Ähnliche Artikel:
Microsoft Security Update Summary (9. Juli 2024)
Patchday: Windows 10/Server-Updates (13. August 2024)
Patchday: Windows 11/Server 2022-Updates (13. August 2024)
Windows Server 2012 / R2 und Windows 7 (13. August 2024)
Windows Server 2019/Windows 10 Enterprise 2019 LTSC: Performance-Probleme mit Update KB5041578
Windows August 2024-Update legt Linux-Boot lahm
Anzeige
Wo afd(.sys) drauf steht, was kann man da auch erwarten…
Bluescreen?
Solche Kommentare bitte im Diskussionsbereich abgeben – es werden sonst hier wieder gewisse Leute wach und dann muß Herr Born wieder (durch)eingreifen!
Nichts gegen Dich persönlich (kenn' Dich ja nicht einmal), wollte auch im ersten Moment was dazu schreiben – nur leider werden weder die Amerikaner (MICROSOFT), noch die Nordkoreaner (LAZARUS) etwas anderes als mit dieser Abkürzung anfangen können, bzw. ist es ihnen völlig gleichgültig.
Windows ist doch so sicher ggü dem ganzen Opensource Kram, wie gewisse Kommentatoren hier immer wieder behaupten. Was soll also schon passieren?
Naja, wie OpenSource garantiert keine Sicherheit.
Beispielsweise gibt es immer wieder Sicherheitslücken z.B. im Firefox und der ist OpenSource.
Auch bei anderen OpenSource-Sachen gibt es immer wieder Sicherheitslücken.
Und manche werden sogar mit Absicht reingeschmuggelt…
Schlaue Leute wissen, dass Security by Obscurity ein unglaublich schlechtes Sicherheitskonzept ist.
Ob Du das als MS Marktschreier je lernen wirst?
Hallo "Johnny",
ich würde es begrüßen, wenn Provokationen oder das angehen anderer hier unterlassen werden.
Der Blog sollte ein Austauschort sein u.a. für Administratioren, um sich gegenseitig zu helfen.
Vielen Dank und
mfG,
Blackii
nur das Windows vom Hause aus unsicher ist und das Thema "Security" bei MS lediglich ein Wort in irgendeiner PowerPoint Folie für die Aktionäre ist.
Ist bei denen wir bei OpenSource, keine Haftung, nur das man die für einen mäßigen Support und einer absurd schlechten Softwarequalität, lang und schmutzig bezahlt und im eigentlichen Sinne keinen greifbaren Gegenwert erhält.
Es gibt keine Lösung die 100% alles erfüllt, aber M$ lässt sich das gut bezahlen und Leute zahlen es auch, wobei es keinen Mehrwert gegenüber einer OpenSource Lösung gibt: Support ist nicht besser, Qualität ist schlechter, es ist unsicherer, es braucht deutlich mehr Ressourcen, Benutzerdaten werden an den Hersteller gesandt und keiner weiß genau was damit passiert, katastrophal schlechte Integration von Netzwerkstandards (Warum an die Vorgaben von IEEE halten wenn es doch besser richtig mit Anlauf verkacken kann), hohe Lizenzgebühren und Wartungskosten ….
Von der reinen Logik her, macht es keinen Sinn, dass man MS Produkte verwendet, da diese in Ihrer Kernfunktion keinerlei Mehrwert liefern, sondern deutlich mehr Nachteile vorweisen, das einzige was einen zu M$ Produkten bewegt, sind die 3.-Anbieter Applikationen die das voraussetzen.
AFD.sys da war doch schon mal 'was?