Vulnérabilité Zero-Day de Windows CVE-2024-38193 activement exploitée

ISGroup Cybersecurity

CVE-2024-38193 est une vulnérabilité critique de type use-after-free dans le pilote Windows afd.sys. Cette faille, avec un score CVSS de 7.8, permet aux attaquants d’obtenir une élévation de privilèges et d’exécuter du code arbitraire sur les systèmes vulnérables. Découverte par Gen Digital et analysée plus en détail par Luca Ginex d’Exodus Intelligence, la vulnérabilité est actuellement exploitée activement, avec un code de preuve de concept (PoC) disponible publiquement sur GitHub.

Le groupe Lazarus aurait utilisé cette vulnérabilité pour installer des logiciels malveillants, notamment le sophistiqué FudModule, représentant une menace significative pour les systèmes Windows à l’échelle mondiale.

Date11-12-2024 15:06:48
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

Comprendre CVE-2024-38193

CVE-2024-38193 est une vulnérabilité de type use-after-free située dans l’extension Registered I/O (RIO) des sockets Windows, qui optimise la programmation des sockets en réduisant les appels système. La faille provient d’une condition de concurrence (race condition) entre les fonctions AfdRioGetAndCacheBuffer() et AfdRioDereferenceBuffer() au sein du pilote afd.sys.

Étapes de l’exploitation :

  • Heap Spraying : L’attaquant remplit le pool non paginé avec des structures RIOBuffer factices et crée des espaces pour préparer l’exploit.
  • Activation de la vulnérabilité : En utilisant des threads concurrents, l’attaquant annule l’enregistrement de tampons (buffers) encore en cours d’utilisation, provoquant une condition de use-after-free.
  • Élévation de privilèges : Les structures RIOBuffer libérées sont manipulées pour obtenir des écritures arbitraires, écrasant finalement la structure SEPTOKEN_PRIVILEGES pour obtenir les privilèges NT AUTHORITY\SYSTEM.

Attribution à l’acteur de la menace

Le groupe Lazarus, une menace persistante avancée (APT) connue, a exploité CVE-2024-38193 pour distribuer le logiciel malveillant FudModule. Ce malware, détecté dès 2022 par AhnLab et ESET, est hautement sophistiqué et permet un accès non autorisé aux données ainsi qu’un contrôle du système.

Recommandations

Appliquer les correctifs : Assurez-vous que tous les systèmes sont à jour avec les mises à jour de sécurité d’août 2024.

[Callforaction-THREAT-Footer]