Windows: Zero-Day-Lücke wird aktiv von Nordkoreas Hackern genutzt

Die berüchtigte nordkoreanische Hackergruppe Lazarus hat eine Zero-Day-Sicherheitslücke in einem Windows-Treiber ausgenutzt. Über die Schwachstelle konnte sie ihre Rechte auf betroffenen Systemen so weit ausweiten, bis das Rootkit "FUDModule" installiert werden konnte.

Christian Kahle, 20.08.2024 08:07 Uhr

Sicherheit, Sicherheitslücke, Leak, Hacker, Security, Malware, Angriff, Hack, Kriminalität, Trojaner, Virus, Schadsoftware, Cybersecurity, Exploit, Cybercrime, Hacking, Hackerangriff, Ransomware, Internetkriminalität, Erpressung, Code, Warnung, Darknet, Hacker Angriff, Quellcode, Hacker Angriffe, Hacken, Programmierer, Attack, Ransom, Hacks, Crime, Programmieren, Russische Hacker, Viren, Sicherheitslösung, Gehackt, Schädling, China Hacker, Adware, Security Report, Coder, Malware Warnung, Security Bulletin, Promi-Hacker, Android Malware

Mehr Rechte für Rootkits

Diese Schwachstelle, die als CVE-2024-38193 in den Security-Datenbanken vermerkt ist, wurde im Rahmen des letzten Patch-Days von Microsoft behoben - zusammen mit sieben weiteren Zero-Day-Lücken. CVE-2024-38193 betrifft den Windows Ancillary Function Driver for WinSock (AFD.sys), der als Schnittstelle für das Winsock-Protokoll zum Windows-Kernel dient.

Die Schwachstelle ermöglicht es Angreifern, über diesen Treiber unerlaubten Zugang zu sensiblen Systembereichen zu erlangen. Laut den Sicherheitsforschern von Gen Digital hat die Lazarus-Gruppe diese Lücke ausgenutzt, um das FUDModule-Rootkit zu installieren, das Sicherheitssoftware umgeht, indem es die Überwachungsfunktionen von Windows deaktiviert.

Eine "Bring Your Own Vulnerable Driver" (BYOVD)-Attacke, wie sie in diesem Fall verwendet wurde, ermöglicht es Angreifern, gezielt Treiber mit bekannten Schwachstellen auf einem System zu installieren und diese auszunutzen, um auf Kernel-Ebene Privilegien zu erlangen. Besonders gefährlich an der aktuellen Sicherheitslücke ist, dass der betroffene Treiber ohnehin AFD.sys standardmäßig auf allen Windows-Geräten installiert ist. Dadurch konnten die Angreifer den Angriff durchführen, ohne ältere, möglicherweise von Windows blockierte oder leicht erkennbare Treiber zu installieren.

Geldbeschaffung am PC

Die Lazarus-Gruppe ist bereits zuvor durch ähnliche BYOVD-Angriffe aufgefallen, bei denen sie die Kernel-Treiber appid.sys von Windows und dbutil_2_3.sys von Dell missbrauchte, um das FUDModule-Rootkit zu installieren.

Obwohl Gen Digital keine Details darüber bekannt gab, welche Ziele die Lazarus-Gruppe bei diesem Angriff ins Visier nahm, kann man davon ausgehen, dass private Nutzer eher nicht zum Ziel wurden. Die Gruppe ist dafür bekannt, weltweit Finanz- und Kryptowährungsunternehmen anzugreifen. Die dabei erbeuteten Millionenbeträge sind wichtige Devisen, mit denen das nordkoreanische Regime seine Waffen- und Cyberprogramme weiterentwickeln kann.

Zusammenfassung

Lazarus-Gruppe nutzt Zero-Day-Sicherheitslücke in Windows-Treiber
Schwachstelle CVE-2024-38193 ermöglicht Installation von FUDModule-Rootkit
Microsoft schließt Sicherheitslücke und sieben weitere am Patch-Day
Angreifer erlangen über Treiber AFD.sys Zugang zu Kernel-Ebene
BYOVD-Attacke erlaubt Installation und Ausnutzung vulnerabler Treiber
Lazarus zielt mit Angriffen häufig auf Finanz- und Kryptosektor ab
Nordkorea finanziert mit Cyberattacken seine Waffen- und Cyberprogramme

Siehe auch:

Thema:

Sicherheitslücken

Kommentieren1

Hinweis einsenden

Weitere Nachrichten zum Thema Überraschung auf der IFA: Das ist 'Nordkoreas erstes Falt-Smartphone'Windows-Bug wird seit Jahren ausgenutzt - Microsoft hat aber keine EileEigene IT testet Bundestag mit Phishing-Mail - einige Politiker fallen reinSpoofing: Zero-Day-Lücke in Windows 10/11 über ein Jahr ausgenutztPanikmodus: KI-Bots können im Team Zero-Days finden und ausnutzenZero-Day-Lücken in Microsoft Exchange ermöglichen Datendiebstahl