{"id":300041,"date":"2024-08-20T15:13:52","date_gmt":"2024-08-20T13:13:52","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=300041"},"modified":"2024-08-20T15:13:52","modified_gmt":"2024-08-20T13:13:52","slug":"windows-0-day-schwachstelle-cve-2024-38193-wurde-durch-lazarus-angegriffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/20\/windows-0-day-schwachstelle-cve-2024-38193-wurde-durch-lazarus-angegriffen\/","title":{"rendered":"Windows: 0-day-Schwachstelle CVE-2024-38193 wurde durch Lazarus angegriffen"},"content":{"rendered":"

\"Windows\"[English]Zum 13. August 2024 hat Microsoft die 0-day-Schwachstelle CVE-2024-38193 im Treiber afd.sys<\/em> mit einem Sicherheitsupdate geschlossen. Dort hie\u00df es vage, dass diese Schwachstelle in freier Wildbahn ausgenutzt werde. Jetzt liegen mir Informationen vor, dass Cyberangreifer der in Nordkorea verorteten Lazarus-Gruppe auf diese Schwachstelle aufsetzen. Ich ziehe mal einige Informationen zu diesem Sachverhalt in einem separaten Blog-Beitrag heraus.<\/p>\n

<\/p>\n

Hinweise zu Schwachstelle CVE-2024-38193 <\/h2>\n

\"\"Die Schwachstelle CVE-2024-38193<\/a> findet sich im Treiber f\u00fcr Winsock (afd.sys<\/em>), der als \"Windows Ancillary Function Driver for WinSock\" bezeichnet wird. Im Treiber existieren zwei Schwachstellen CVE-2024-38141<\/a> und <\/u>CVE-2024-38193<\/a>, die eine Ausweitung der Privilegien (Elevation of Privilege, EoP) erm\u00f6glichen. Beide Schwachstellen wurden mit dem CVEv3 Score 7.8 klassifiziert und als important eingestuft. <\/p>\n

Beide Sicherheitsl\u00fccken  k\u00f6nnen es einem Angreifer erm\u00f6glichen, Rechte f\u00fcr SYSTEM zu erlangen. CVE-2024-38141 wird als \"Exploitation More Likely\" eingestuft, und CVE-2024-38193 wurde Berichten zufolge als Zero-Day-Schwachstelle in freier Wildbahn ausgenutzt. Ich hatte im Blog-Beitrag Microsoft Security Update Summary (9. Juli 2024)<\/a> auf diesen Sachverhalt hingewiesen. Microsoft sollte die Schwachstellen in den Updates vom 13. August 2024 geschlossen haben – die Windows August 2024-Updates werden in den Patchday-Artikeln am Beitragsende angegeben.<\/p>\n

Lazarus nutzt die Schwachstelle aus<\/h2>\n

\u00dcber nachfolgenden Tweet<\/a> bin ich nun auf den Beitrag Microsoft Patches Zero-Day Flaw Exploited by North Korea's Lazarus Group<\/a> von Hacker News gesto\u00dfen, die das Thema aufgegriffen haben. <\/p>\n

<\/a><\/p>\n

Entdeckt wurde die Schwachstelle Anfang Juni 2024 von den Sicherheitsforschern Luigino Camastra und Mil\u00e1nek von Gen Digital. Gen Digital ist Eigent\u00fcmer einer Reihe von Sicherheits- und Tool-Marken wie Norton, Avast, Avira, AVG, ReputationDefender und CCleaner. Das Unternehmen hat die Details dann in diesem Blog-Beitrag<\/a> ver\u00f6ffentlicht. <\/p>\n

Aufgefallen ist das Ganze bei der Analyse von Angriffen der Lazarus-Gruppe, die die bisher unbekannte 0-day-Schwachstelle im Windows  AFD.sys-Treiber, ausnutzte. Diese Schwachstelle erm\u00f6glichte es den Angreifer, unbefugten Zugriff auf sensible Systembereiche des Betriebssystems und SYSTEM-Rechte zu erlangen, auf die Anwender und Administratoren meist keinen Zugriff haben. <\/p>\n

Diese Art von Angriff ist laut Sicherheitsforscher sowohl raffiniert als auch einfallsreich und kann auf dem Schwarzmarkt mehrere hunderttausend Dollar kosten. Dies Sicherheitsforscher finden die Schwachstelle besorgniserregend, da diese es erm\u00f6glicht, Angriffe auf Personen in sensiblen Bereichen auszuf\u00fchren. Dies w\u00e4ren beispielsweise in der Kryptow\u00e4hrungsentwicklung oder in der Luft- und Raumfahrt. \u00dcber die Schwachstelle k\u00f6nnen die Angreifer sich Zugang zu den Netzwerken von Unternehmen verschaffen, um beispielsweise Kryptow\u00e4hrungsbetr\u00e4ge in Wallets zu stehlen. Das ist eine bekannte Taktik Nordkoreas, um mit dieser Beute weitere Operationen zu finanzieren. <\/p>\n

Die Sicherheitsforscher fanden auch heraus, dass sie eine spezielle Art von Malware namens Fudmodule verwendeten, um die Aktivit\u00e4ten der Angreifer vor Sicherheitssoftware zu verbergen. Inzwischen hat Microsoft die Schwachstelle durch ein Sicherheitsupdate geschlossen – Administratoren sollten die Systeme aber zeitnah patchen (sofern nicht l\u00e4ngst geschehen). Leider f\u00e4hrt der Artikel von Gen Digital keine Details \u00fcber den Indicator of Compromise (IoC) auf, mit dem man bereits infizierte Systeme erkennen k\u00f6nnte. <\/p>\n

\u00c4hnliche Artikel:<\/strong>
Microsoft Security Update Summary (9. Juli 2024)<\/a>
Patchday: Windows 10\/Server-Updates (13. August 2024)<\/a>
Patchday: Windows 11\/Server 2022-Updates (13. August 2024)<\/a>
Windows Server 2012 \/ R2 und Windows 7 (13. August 2024)<\/a> <\/p>\n

Windows Server 2019\/Windows 10 Enterprise 2019 LTSC: Performance-Probleme mit Update KB5041578<\/a>
Windows August 2024-Update legt Linux-Boot lahm<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Zum 13. August 2024 hat Microsoft die 0-day-Schwachstelle CVE-2024-38193 im Treiber afd.sys mit einem Sicherheitsupdate geschlossen. Dort hie\u00df es vage, dass diese Schwachstelle in freier Wildbahn ausgenutzt werde. Jetzt liegen mir Informationen vor, dass Cyberangreifer der in Nordkorea verorteten Lazarus-Gruppe … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[7911,4328,4325],"class_list":["post-300041","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-schwachstellen","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/300041","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=300041"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/300041\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=300041"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=300041"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=300041"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}