CVE-2024-38193 est une vulnérabilité critique de type use-after-free dans le pilote Windows afd.sys. Cette faille, avec un score CVSS de 7.8, permet aux attaquants d’obtenir une élévation de privilèges et d’exécuter du code arbitraire sur les systèmes vulnérables. Découverte par Gen Digital et analysée plus en détail par Luca Ginex d’Exodus Intelligence, la vulnérabilité est actuellement exploitée activement, avec un code de preuve de concept (PoC) disponible publiquement sur GitHub.
Le groupe Lazarus aurait utilisé cette vulnérabilité pour installer des logiciels malveillants, notamment le sophistiqué FudModule, représentant une menace significative pour les systèmes Windows à l’échelle mondiale.
| Date | 11-12-2024 15:06:48 |
| Informations |
|
Résumé technique
Comprendre CVE-2024-38193
CVE-2024-38193 est une vulnérabilité de type use-after-free située dans l’extension Registered I/O (RIO) des sockets Windows, qui optimise la programmation des sockets en réduisant les appels système. La faille provient d’une condition de concurrence (race condition) entre les fonctions AfdRioGetAndCacheBuffer() et AfdRioDereferenceBuffer() au sein du pilote afd.sys.
Étapes de l’exploitation :
- Heap Spraying : L’attaquant remplit le pool non paginé avec des structures RIOBuffer factices et crée des espaces pour préparer l’exploit.
- Activation de la vulnérabilité : En utilisant des threads concurrents, l’attaquant annule l’enregistrement de tampons (buffers) encore en cours d’utilisation, provoquant une condition de use-after-free.
- Élévation de privilèges : Les structures RIOBuffer libérées sont manipulées pour obtenir des écritures arbitraires, écrasant finalement la structure SEPTOKEN_PRIVILEGES pour obtenir les privilèges NT AUTHORITY\SYSTEM.
Attribution à l’acteur de la menace
Le groupe Lazarus, une menace persistante avancée (APT) connue, a exploité CVE-2024-38193 pour distribuer le logiciel malveillant FudModule. Ce malware, détecté dès 2022 par AhnLab et ESET, est hautement sophistiqué et permet un accès non autorisé aux données ainsi qu’un contrôle du système.
Recommandations
Appliquer les correctifs : Assurez-vous que tous les systèmes sont à jour avec les mises à jour de sécurité d’août 2024.
[Callforaction-THREAT-Footer]
