A vulnerabilidade, rastreada como CVE-2024-38193, foi uma das seis zero-days – ou seja, vulnerabilidades conhecidas ou ativamente exploradas antes que o fornecedor tenha um patch – corrigidas na atualização mensal da Microsoft na última terça-feira. A Microsoft afirmou que a vulnerabilidade – em uma classe conhecida como “use after free” – estava localizada no AFD.sys, o arquivo binário para o que é conhecido como driver de função auxiliar e o ponto de entrada do kernel para a API Winsock. A Microsoft alertou que a zero-day poderia ser explorada para conceder aos atacantes privilégios de sistema, os máximos direitos de sistema disponíveis no Windows e um status necessário para executar código não confiável.
Lazarus obtém acesso ao kernel do Windows
A Microsoft alertou na época que a vulnerabilidade estava sendo ativamente explorada, mas não forneceu detalhes sobre quem estava por trás dos ataques ou qual era o objetivo final deles. Na segunda-feira, pesquisadores da Gen – a empresa de segurança que descobriu os ataques e os relatou privadamente à Microsoft – disseram que os atores de ameaças faziam parte do Lazarus, o nome que os pesquisadores usam para rastrear um grupo de hackers apoiado pelo governo norte-coreano.
Restam 6 parágrafos | Comentários
Redação Confraria Tech
Referências:
Windows 0-day was exploited by North Korea to install advanced rootkit
