Le groupe Lazarus exploite une faille zero-day présente dans un pilote Windows (CVE-2024-38193)
Le groupe de pirates Lazarus a été repéré en train d'exploiter une faille de sécurité zero-day présente dans un pilote Windows, dans le but d'élever ses privilèges et de déployer le rootkit FUDModule sur les machines. Faisons le point.
À l'occasion de la sortie de son Patch Tuesday d'août 2024, Microsoft a corrigé diverses vulnérabilités, dont une faille de sécurité importante dans l'IPv6. L'entreprise américaine a également corrigé la CVE-2024-38193, une vulnérabilité de type "Bring Your Own Vulnerable Driver" (BYOVD) présente dans le pilote "AFD.sys" de Windows. Ce pilote, dont le nom complet est "Ancillary Function Driver for WinSock", représente un point d'entrée au niveau du noyau Windows pour le protocole Winsock.
Avant qu'elle ne soit découverte par les chercheurs en sécurité de chez Gen Digital, cette faille de sécurité a été exploitée en tant que zero-day par Lazarus, un célèbre groupe de pirates nord-coréens. Lors d'attaques réelles, les pirates ont exploité cette faille pour installer le rootkit FUDModule sur les machines Windows. Il permet aux pirates de ne pas être détecté par les fonctions de sécurité présentes sur Windows.
"Début juin, Luigino Camastra et Milanek ont découvert que le groupe Lazarus exploitait une faille de sécurité cachée dans un élément crucial de Windows appelé pilote AFD.sys.", peut-on lire sur le site de Gen Digital.
Grâce à la technique d'attaque BYOVD, les attaquants peuvent implanter un pilote légitime vulnérable sur le système pris pour cible. En l'occurrence ici, c'est le pilote AFD.sys, présent nativement sur Windows, qui est la cible. Ensuite, ils exploitent le pilote vulnérable pour effectuer des actions malveillantes, telles que le déploiement d'un rootkit dans le cas présent.
D'après Gen Digital, il s'agirait d'une campagne d'attaques menée au Brésil, prenant pour cibles des professionnels du secteur de la crypto-monnaie. Ces cibles ont reçu de fausses offres d'emploi de la part des pirates, ces derniers visant à installer des logiciels malveillants sur les machines Windows. Ceci a été documenté en juin dernier par Google TAG.
Comment se protéger de la CVE-2024-38193 ?
Tout d'abord, évoquons les versions vulnérables : Windows 10, Windows 11 et toutes les versions de Windows Server à partir de Windows Server 2008 sont affectées par la CVE-2024-38193.
La bonne nouvelle, c'est qu'un correctif de sécurité est présent dans les dernières mises à jour cumulatives disponibles pour les systèmes Windows. Voilà, une bonne raison supplémentaire d'installer ce nouveau patch....
