ISGroup Consultoría de Ciberseguridad

Vulnerabilidad Zero-Day de Windows CVE-2024-38193 Explotada Activamente

CVE-2024-38193 es una vulnerabilidad crítica de tipo use-after-free en el controlador de Windows afd.sys. Este fallo, con una puntuación CVSS de 7.8, permite a los atacantes obtener la elevación de privilegios y ejecutar código arbitrario en los sistemas vulnerables. Descubierta por Gen Digital y analizada posteriormente por Luca Ginex de Exodus Intelligence, la vulnerabilidad está siendo explotada activamente, con código de prueba de concepto (PoC) disponible públicamente en GitHub.

El grupo Lazarus supuestamente ha utilizado esta vulnerabilidad para instalar malware, incluido el sofisticado FudModule, lo que representa una amenaza significativa para los sistemas Windows a nivel global.

Fecha2024-12-11 15:06:48
Información
  • Parche disponible
  • Explotación activa

Resumen técnico

Comprender CVE-2024-38193

CVE-2024-38193 es una vulnerabilidad de tipo use-after-free ubicada en la extensión Registered I/O (RIO) de los sockets de Windows, que optimiza la programación de sockets reduciendo las llamadas al sistema. El fallo se origina en una condición de carrera (race condition) entre las funciones AfdRioGetAndCacheBuffer() y AfdRioDereferenceBuffer() dentro del controlador afd.sys.

Pasos para la explotación:

  • Heap Spraying: El atacante llena el non-paged pool con estructuras RIOBuffer falsas y crea espacios para preparar el exploit.
  • Activación de la vulnerabilidad: Utilizando hilos concurrentes, el atacante cancela el registro de los búferes que aún están en uso, provocando una condición de use-after-free.
  • Elevación de privilegios: Las estructuras RIOBuffer liberadas se manipulan para obtener escrituras arbitrarias, sobrescribiendo finalmente la estructura SEPTOKEN_PRIVILEGES para obtener privilegios NT AUTHORITY\SYSTEM.

Atribución al actor de la amenaza

El grupo Lazarus, una amenaza persistente avanzada (APT) conocida, ha explotado CVE-2024-38193 para distribuir el malware FudModule. Este malware, detectado ya en 2022 por AhnLab y ESET, es altamente sofisticado y permite el acceso no autorizado a datos y el control del sistema.

Recomendaciones

Aplicar parches: Asegúrese de que todos los sistemas estén actualizados con las actualizaciones de seguridad de agosto de 2024.

[Callforaction-THREAT-Footer]

In