Windows: Hacker nutzen Zero-Day-Lücke für Kernelzugriff aus

Möglich ist der Kernelzugriff durch einen Windows -Treiber namens AFD.sys. Mindestens seit Juni installiert eine bekannte Hackergruppe darüber ein Rootkit .

20. August 2024 um 09:09 Uhr / Marc Stöckel

5 Kommentare News folgen (öffnet im neuen Fenster)

Microsoft hat eine aktiv ausgenutzte Sicherheitslücke in Windows gepatcht. (Bild: pixabay.com / paulsbarlow7) — Microsoft hat eine aktiv ausgenutzte Sicherheitslücke in Windows gepatcht. Bild: pixabay.com / paulsbarlow7

Die prominente nordkoreanische Hackergruppe Lazarus hat sich offenbar einer Rechteausweitungsschwachstelle in Windows ermächtigt, um auf Zielsystemen einen Kernelzugriff zu erlangen und ein Rootkit namens Fudmodule zu installieren. Wie aus einem Blogbeitrag von Gen Digital(öffnet im neuen Fenster) hervorgeht, haben Sicherheitsforscher des Unternehmens entsprechende Angriffe schon Anfang Juni beobachtet und im Anschluss an Microsoft gemeldet.

Die von den Angreifern ausgenutzte Sicherheitslücke ist als CVE-2024-38193(öffnet im neuen Fenster) registriert und erreicht mit einem CVSS-Wert von 7,8 einen hohen Schweregrad. Um die Schwachstelle ausnutzen zu können, benötigt der Angreifer vorab Zugriff auf ein einfaches Nutzerkonto. Die Angriffskomplexität stuft Microsoft als gering ein.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Fachadministrator*in Zahlungsverkehr und Finanzsysteme IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

Senior Atlassian Administrator*in (m/w/div) Deutsche Rentenversicherung Bund, Würzburg (öffnet im neuen Fenster)

Teamleitung IT (m/w/d) Gasversorgung Main-Kinzig GmbH, Gelnhausen (öffnet im neuen Fenster)

Mitarbeiter*in (m/w/d) für digitale Softwareprüfung - Remote / Home-Office Wise Guys Consulting GmbH, Berlin (öffnet im neuen Fenster)

Mitarbeiter im Kundendialogcenter (m/w/d) VR-Bank in Südniedersachsen eG, Dransfeld (öffnet im neuen Fenster)

Auszubildender Kaufmann für Digitalisierungsmanagement (m/w/d) Mediengruppe KLAMBT, Bielefeld (öffnet im neuen Fenster)

SAP-Basisadministrator (w/m/d) Ärzteversorgung Westfalen-Lippe, Münster (öffnet im neuen Fenster)

Sachgebietsleiter (m/w/i) Lieferantenwechsel Stadtwerke Heidelberg Netze GmbH, Heidelberg (öffnet im neuen Fenster)

Am 13. August hat Microsoft einen Patch gegen CVE-2024-38193 veröffentlicht, der für Windows 10 und Windows 11 sowie alle gängigen Windows-Server-Versionen ab 2008 bereitsteht. Angesichts der aktiven Ausnutzung der Lücke ist es ratsam, das Update möglichst zeitnah zu installieren, sofern noch nicht geschehen.

Per Windows-Treiber zum Kernelzugriff

Laut Gen Digital befindet sich die besagte Schwachstelle in einem Windows-Treiber namens AFD.sys (Ancillary Function Driver), der einen Kernel-Einstiegspunkt für Winsock darstellt. Dadurch sei es Lazarus möglich gewesen, "auf sensible Systembereiche zuzugreifen, auf die die meisten Benutzer und Administratoren keinen Zugriff haben" , erklären die Forscher.

Die Hackergruppe habe die Lücke ausgenutzt, um eine spezielle Malware namens Fudmodule zu installieren und damit ihre böswilligen Aktivitäten vor Sicherheitstools zu verbergen. Forscher vom Sicheheitsunternehmen Eset hatten Fudmodule in der Vergangenheit als Rootkit klassifiziert(öffnet im neuen Fenster) , das versucht, durch das Ändern von Kernelvariablen und das Entfernen von Kernel-Callbacks verschiedene Überwachungsfunktionen von Windows zu deaktivieren.

Laut Eset ist Lazarus schon mindestens seit 2009 aktiv. Die Hackergruppe hatte es in der Vergangenheit vor allem auf die Kryptowährungsbranche sowie Unternehmen aus der Luft- und Raumfahrt abgesehen. Um gestohlene Gelder nach erfolgreichen Cyberangriffen zu waschen, griff Lazarus unter anderem auf den Kryptomixer Tornado Cash zurück , dessen Entwickler im Sommer 2022 verhaftet wurden.

Zur Startseite 5 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Per Windows-Treiber zum Kernelzugriff

Relevante Themen