Microsoft hat eine neu entdeckte Sicherheitslücke in Windows geschlossen, die als Zero-Day-Exploit von der berüchtigten Lazarus-Gruppe, einer staatlich geförderten Hackergruppe aus Nordkorea, ausgenutzt wurde.
Die Sicherheitslücke, die als CVE-2024-38193 (CVSS-Wert: 7,8) verfolgt wird, betrifft eine Privilegieneskalation im Windows Ancillary Function Driver (AFD.sys) für WinSock.
„Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte SYSTEM-Rechte erlangen“, erklärte Microsoft in einem Hinweis zur Schwachstelle. Die Lücke wurde im Rahmen des monatlichen Patch Tuesday-Updates des Technologieunternehmens behoben.
Entdeckt und gemeldet wurde die Schwachstelle von den Forschern Luigino Camastra und Milánek des Sicherheitsunternehmens Gen Digital, das Marken wie Norton, Avast, Avira, AVG, ReputationDefender und CCleaner besitzt.
„Diese Schwachstelle ermöglichte es Angreifern, unautorisierten Zugang zu sensiblen Systembereichen zu erlangen“, so das Unternehmen in einer Mitteilung. Es wurde weiter berichtet, dass die Ausnutzung der Schwachstelle bereits im Juni 2024 entdeckt wurde. „Die Schwachstelle ermöglichte es Angreifern, normale Sicherheitsbeschränkungen zu umgehen und auf sensible Systembereiche zuzugreifen, die für die meisten Benutzer und Administratoren nicht erreichbar sind.“
Der Cybersicherheitsanbieter betonte zudem, dass die Angriffe durch den Einsatz eines Rootkits namens FudModule gekennzeichnet waren, das eingesetzt wurde, um der Entdeckung zu entgehen.
Obwohl die genauen technischen Details der Angriffe derzeit noch unbekannt sind, erinnert die Schwachstelle an eine andere Privilegieneskalationslücke, die Microsoft bereits im Februar 2024 behoben hat und die ebenfalls von der Lazarus-Gruppe genutzt wurde, um das FudModule-Rootkit einzuschleusen.
Konkret handelte es sich um die Ausnutzung von CVE-2024-21338 (CVSS-Wert: 7,8), einer Privilegieneskalationslücke im Windows-Kernel, die im AppLocker-Treiber (appid.sys) verwurzelt ist und es ermöglicht, beliebigen Code auszuführen, indem alle Sicherheitsprüfungen umgangen werden und das FudModule-Rootkit ausgeführt wird.
Diese Angriffe sind besonders bemerkenswert, da sie über den traditionellen „Bring Your Own Vulnerable Driver“ (BYOVD)-Ansatz hinausgehen, indem sie eine Sicherheitslücke in einem bereits auf einem Windows-Host installierten Treiber ausnutzen, anstatt einen anfälligen Treiber „mitzubringen“ und ihn zu verwenden, um Sicherheitsmaßnahmen zu umgehen.
Frühere Angriffe, die von der Cybersicherheitsfirma Avast beschrieben wurden, zeigten, dass das Rootkit durch einen Remote-Access-Trojaner namens Kaolin RAT bereitgestellt wird.
„FudModule ist nur lose in den Rest des Malware-Ökosystems von Lazarus integriert“, erklärte die tschechische Firma damals und fügte hinzu: „Lazarus ist sehr vorsichtig beim Einsatz des Rootkits und setzt es nur unter den richtigen Umständen gezielt ein.“
Der Vorfall zeigt erneut die Raffinesse und die zunehmende Bedrohung durch staatlich geförderte Hackergruppen, die gezielt Sicherheitslücken in weit verbreiteter Software ausnutzen, um Zugriff auf hochsensible Systeme zu erlangen.
