近日，微軟被曝Windows AFD.sys漏洞（編號(hào)：CVE-2024-38193）正在被黑客組織利用。該漏洞被歸類為自帶易受攻擊驅(qū)動(dòng)程序（BYOVD）漏洞，可影響Windows套接字的注冊(cè)I/O（RIO）擴(kuò)展，并允許攻擊者遠(yuǎn)程接管整個(gè)系統(tǒng)。

漏洞影響版本包括Windows 11（ARM64、x64，多個(gè)版本）、Windows 10（ARM64、x64、32位，多個(gè)版本）、Windows Server 2008、2012、2016、2019、2022（多個(gè)版本）。

目前，已有跡象表明黑客組織正在利用該漏洞發(fā)起攻擊，例如朝鮮黑客組織Lazarus就是其中之一，其安裝名為FUDModule的根工具包（rootkit），可在目標(biāo)系統(tǒng)上獲得最高權(quán)限。2024年8月，微軟發(fā)布安全更新已經(jīng)修復(fù)該漏洞，強(qiáng)烈建議組織及時(shí)進(jìn)行修復(fù)。

漏洞概述

1.漏洞成因

CVE-2024-38193漏洞存在于Windows輔助功能驅(qū)動(dòng)程序（AFD.sys）中。AFD.sys是Winsock協(xié)議棧的關(guān)鍵組件之一，處理底層網(wǎng)絡(luò)調(diào)用，并在內(nèi)核模式下執(zhí)行操作。漏洞的根本原因是AFD.sys在處理特定系統(tǒng)調(diào)用時(shí)缺乏適當(dāng)?shù)倪吔鐧z查，導(dǎo)致攻擊者可以構(gòu)造惡意輸入，觸發(fā)內(nèi)存溢出或其他未定義行為，從而繞過安全檢查，提升權(quán)限。由于AFD.sys在所有Windows系統(tǒng)中廣泛部署，這使得該漏洞特別危險(xiǎn)。

2.漏洞利用過程

(1) 漏洞觸發(fā)

攻擊者首先通過惡意應(yīng)用程序或遠(yuǎn)程代碼執(zhí)行方式，向AFD.sys驅(qū)動(dòng)程序發(fā)送惡意構(gòu)造的系統(tǒng)調(diào)用請(qǐng)求。通過精心構(gòu)造的輸入，攻擊者可以讓AFD.sys在內(nèi)核模式下執(zhí)行越權(quán)操作。這種攻擊方式利用了Windows內(nèi)核的漏洞，能夠在用戶態(tài)和內(nèi)核態(tài)之間繞過安全邊界，執(zhí)行未授權(quán)的操作。

(2) 權(quán)限提升

一旦漏洞觸發(fā)，攻擊者可以利用漏洞執(zhí)行任意代碼，并獲得SYSTEM權(quán)限。通過這種方式，攻擊者能夠完全控制受影響的設(shè)備，部署惡意軟件或修改系統(tǒng)配置。獲得SYSTEM權(quán)限后，攻擊者可以執(zhí)行一系列高級(jí)操作，包括禁用安全軟件、修改系統(tǒng)文件和執(zhí)行其他惡意活動(dòng)。

(3) FUDModule根工具包的安裝

獲得SYSTEM權(quán)限后，攻擊者會(huì)安裝FUDModule根工具包。FUDModule是一種專門設(shè)計(jì)用于隱藏攻擊痕跡、繞過安全監(jiān)控的復(fù)雜惡意軟件。通過關(guān)閉Windows的監(jiān)控功能，F(xiàn)UDModule可以讓攻擊者在受害者系統(tǒng)中保持長期隱蔽。FUDModule的存在使得攻擊者能夠在不被發(fā)現(xiàn)的情況下持續(xù)控制目標(biāo)系統(tǒng)，增加了防御的難度。

修復(fù)建議

微軟已經(jīng)發(fā)布了針對(duì)CVE-2024-38193的安全補(bǔ)丁，覆蓋了多個(gè)Windows版本。建議所有用戶和組織盡快應(yīng)用補(bǔ)丁，避免系統(tǒng)遭到利用。及時(shí)應(yīng)用補(bǔ)丁是防止漏洞利用的最有效手段之一，用戶應(yīng)確保系統(tǒng)和應(yīng)用程序都安裝了最新的安全更新。

參考來源：https://cybersecuritynews.com/windows-driver-use-after-free-vulnerability/