【安全资讯】Windows零日漏洞CVE-2024-38193被利用:PoC已发布

安恒恒脑 2024-12-09 19:39:13 783人浏览

概要:

近期,Windows系统中发现了一个严重的使用后释放(use-after-free)漏洞,编号为CVE-2024-38193。该漏洞的CVSS评分为7.8,可能导致攻击者提升权限并执行任意代码,给用户和企业带来重大安全威胁。安全研究员Luca Ginex对该漏洞进行了深入分析,揭示了其利用过程及潜在影响。

主要内容:

CVE-2024-38193漏洞存在于afd.sys Windows驱动程序中,允许攻击者绕过正常的安全限制,访问通常对大多数用户和管理员不可接触的敏感系统区域。根据Gen Digital的报告,该漏洞的复杂性和隐蔽性使其在黑市上的价值可能高达数十万美元。研究人员追踪到,Lazarus Group利用此漏洞安装名为FudModule的恶意软件,该恶意软件在2022年被AhnLab和ESET首次检测到。

该漏洞源于afd.sys驱动程序中AfdRioGetAndCacheBuffer()与AfdRioDereferenceBuffer()函数之间的竞争条件。攻击者通过多阶段过程进行利用:首先,利用堆喷射技术在非分页池中填充伪造的RIOBuffer结构,随后创建两个并发线程,在缓冲区仍在使用时将其注销,导致使用后释放场景。最终,攻击者利用释放的RIOBuffer结构控制缓存内容并提升权限。

独立安全研究员Nephster已在GitHub上发布了CVE-2024-38193的概念验证(PoC)代码,进一步增加了该漏洞的潜在威胁。该漏洞已在2024年8月的补丁星期二中修复,用户被强烈建议及时应用补丁,以降低潜在攻击的风险。
零日漏洞 数据泄露 科技公司 IT行业
    0条评论
    1
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。