Microsoft ha rilasciato le patch per sette vulnerabilità zero-day lo scorso 13 agosto. Tra quelle attivamente sfruttate (exploit in circolazione) c’è la vulnerabilità CVE-2024-38193. Il famigerato gruppo nordcoreano Lazarus ha già effettuato attacchi per installare il rootkit FUDModule.
Installare subito gli aggiornamenti
CVE-2024-38193 è una vulnerabilità “user after free” presente nel Windows Ancillary Function Driver (AFD.sys) usato dal protocollo WinSock. I ricercatori di Gen Digital hanno scoperto all’inizio di giugno che il gruppo Lazarus sfrutta il bug per eseguire attacchi Bring Your Own Vulnerable Driver (BYOVD).
I cybercriminali nordcoreani hanno effettuato l’accesso ai computer e ottenuto privilegi elevati. Hanno quindi sfruttato la vulnerabilità per installare FUDModule, un rootkit che permette di disattivare le protezioni del sistema operativo. È possibile quindi eseguire diverse attività, come l’installazione di altri malware o il furto di informazioni sensibili.
I principali target di Lazarus sono aziende che operano nel mercato delle criptovalute e nel settore finanziario. Il denaro rubato viene utilizzato per finanziare il programma militare della Corea del Nord. Tra gli attacchi più noti c’è quello effettuato contro il bridge Ronin di Axie Infinity che ha permesso di rubare circa 620 milioni di dollari.
I ricercatori di Gen Digital hanno segnalato il problema a Microsoft, senza ovviamente divulgare i dettagli della vulnerabilità e il codice dell’exploit. Gli utenti devono installare al più presto gli aggiornamenti rilasciati il 13 agosto.