Bản cập nhật an ninh của Microsoft tuần vừa qua khắc phục nhiều lỗ hổng nghiêm trọng, trong đó có CVE-2024-38193 (CVSS 7.8) đang bị nhóm hacker Triều Tiên Lazarus khai thác trong các cuộc tấn công.
CVE-2024-38193 là lỗ hổng Bring Your Own Vulnerable Driver (BYOVD), nằm trong tệp nhị phân của Windows Ancillary Function Driver (AFD.sys). Khai thác thành công lỗ hổng, tin tặc có thể giành được các đặc quyền cấp hệ thống, bao gồm cả đặc quyền cao nhất trong Windows là SYSTEM, từ đó thực thi mã độc hại.
Microsoft xác nhận việc việc lỗ hổng đang bị khai thác thực tế nhưng không tiết lộ nhóm tin tặc đứng sau các cuộc tấn công. Tuy nhiên, một số nhà nghiên cứu đã xác định Lazarus Group chính là thủ phạm. Theo đó, nhóm đã khai thác lỗ hổng này để cài đặt phần mềm độc hại có tên FudModule.
Hồi đầu năm nay, công ty bảo mật Avast của Séc đã phát hiện ra một biến thể của FudModule có thể vượt qua các biện pháp phòng thủ quan trọng của Windows, như Endpoint Detection and Response (EDR) và Protected Processes.
Đáng chú ý, Avast cũng tiết lộ rằng sau khi Microsoft được thông báo về lỗ hổng, hãng đã mất sáu tháng mới đưa ra bản vá, điều này kéo dài thời gian tấn công của Lazarus Group thêm nửa năm.
Nguồn: Security Online