Fenris

ACTUALITÉS - CYBERSECURITÉ

CVE-2024-38193 : Une faille critique dans Windows utilisée par le groupe Lazarus pour des attaques ciblées

En août 2024, Microsoft a corrigé une vulnérabilité critique identifiée sous le code CVE-2024-38193, affectant le fichier système AFD.sys de Windows. Cette vulnérabilité, activement exploitée dans des attaques, a été liée au groupe de cyberespionnage nord-coréen Lazarus, connu pour ses campagnes sophistiquées.

Détails techniques de la vulnérabilité

La vulnérabilité CVE-2024-38193 réside dans le fichier système AFD.sys (Ancillary Function Driver pour Windows Socket), une composante essentielle du système d’exploitation Windows utilisée pour gérer les fonctions réseau.

 

Nature de la faille :

  • Type de vulnérabilité : Utilisation après libération (Use-After-Free) dans la gestion des structures mémoire.
  • Source du problème : Une condition de concurrence (race condition) entre les fonctions internes AfdRioGetAndCacheBuffer() et AfdRioDereferenceBuffer() entraîne une désynchronisation dans la gestion des buffers.
  • Impact : Cette faille permet à un attaquant local, ayant déjà accès à la machine, d’élever ses privilèges pour exécuter du code arbitraire avec les droits système les plus élevés.

 

Conditions d’exploitation :

 

L’exploitation de cette vulnérabilité nécessite une interaction locale, ce qui signifie qu’un attaquant doit déjà avoir un accès initial à la machine ciblée. Cependant, une fois exploitée, elle permet une prise de contrôle complète du système.

 

Le groupe Lazarus, affilié à la Corée du Nord, est reconnu pour ses attaques ciblant des secteurs sensibles, notamment la finance, l’aérospatial et la cryptomonnaie. Ce groupe a exploité cette faille pour des campagnes malveillantes en déployant un rootkit appelé FudModule.

 

Caractéristiques de l’exploitation :

 

Rootkit FudModule : Ce malware est conçu pour désactiver les mécanismes de surveillance et de sécurité de Windows, permettant aux attaquants de rester indétectés.

Les campagnes identifiées visaient principalement les institutions financières spécialisées dans les cryptomonnaies ainsi que les entreprises technologiques de pointe dans les secteurs de l’aérospatial et de la défense.

Technique d’infiltration : Lazarus combine l’exploitation de la vulnérabilité avec des techniques de phishing avancées pour obtenir un accès initial à la machine cible.

 

Importance stratégique :

 

Cette attaque illustre la capacité de Lazarus à exploiter des vulnérabilités système de jour zéro (zero-day) pour mener des campagnes de cyberespionnage d’envergure.

 

Le National Vulnerability Database (NVD) a attribué à CVE-2024-38193 un score CVSS de 7,8 (critique). L’exploitation réussie de cette faille peut permettre :

  • Une prise de contrôle complète du système affecté.
  • La possibilité d’installer des malwares ou de manipuler des données sensibles.
  • Une menace persistante si l’attaquant parvient à installer des outils comme des rootkits ou des portes dérobées (backdoors).

 

Versions affectées :

 

La vulnérabilité touche plusieurs versions de Windows, notamment :

  • Windows 10 (versions 21H2 et antérieures).
  • Windows 11 (toutes versions avant la mise à jour d’août 2024).
  • Windows Server (toutes versions supportées).

 

Mesures correctives et recommandations :

 

Microsoft a publié un correctif pour cette vulnérabilité lors de sa mise à jour de sécurité Patch Tuesday d’août 2024. Voici les étapes essentielles pour mitiger cette menace :

  1. Appliquer les mises à jour :
    • Installez immédiatement la dernière mise à jour cumulative pour Windows, disponible via Windows Update.
    • Assurez-vous que vos systèmes sont configurés pour recevoir automatiquement les correctifs de sécurité critiques.
  2. Renforcer les contrôles d’accès locaux :
    • Réduisez les privilèges accordés aux utilisateurs locaux pour limiter la possibilité d’exploitation.
  3. Surveillez les connexions suspectes ou les comportements inhabituels.
    • Déployer des solutions de sécurité avancées :
  4. Utilisez des outils capables de détecter les comportements anormaux liés à des vulnérabilités de type race condition.
    • Implémentez des solutions anti-rootkit pour détecter et neutraliser les malwares comme FudModule.
  5. Former le personnel :
    • Renforcez la vigilance des équipes en matière de phishing et d’ingénierie sociale, techniques souvent utilisées par Lazarus pour accéder aux systèmes.
  6. Surveiller l’activité réseau :
    • Configurez des outils de surveillance pour identifier les transferts de données suspects ou les connexions inhabituelles aux systèmes critiques.

 

Conclusion :

 

La vulnérabilité CVE-2024-38193 est une nouvelle démonstration des capacités avancées du groupe Lazarus à exploiter des failles système pour mener des attaques ciblées. 

Cette faille critique souligne l’importance d’une gestion proactive des correctifs de sécurité et d’une vigilance constante face aux menaces émergentes.

En appliquant les correctifs disponibles et en adoptant des pratiques de sécurité robustes, les entreprises peuvent réduire leur exposition à de telles attaques. Cet incident rappelle également que les groupes APT (Advanced Persistent Threats) continuent de représenter un danger majeur pour les infrastructures critiques et les organisations sensibles à travers le monde.

 

Vous souhaitez en savoir plus ou bien être accompagné par nos services sur ce genre de thématique ?

Fenris Technologies - Copyright ©2024 Tous droits réservés.

Nous avons besoin de votre consentement pour charger les traductions

Nous utilisons un service tiers pour traduire le contenu du site web qui peut collecter des données sur votre activité. Veuillez consulter les détails dans la politique de confidentialité et accepter le service pour voir les traductions.

Paramètres de confidentialité

Traducteur de site Web

Paramètres de confidentialité

Avec cet outil, vous pouvez sélectionner et désactiver les différents tags / trackers / outils d'analyse utilisés sur ce site.

Sélectionnez tous les services
Traducteur de site Web
Plus
Sauvegarder les paramètres