De beruchte Noord-Koreaanse hackersbende Lazarus heeft onlangs een zero-day kwetsbaarheid in de Windows AFD.sys-driver misbruikt. Vervolgens installeerden ze een rootkit voor het verhullen van hun activiteiten. Microsoft heeft de kwetsbaarheid inmiddels gepatcht.
Via een zero-day kwetsbaarheid in de Windows AFD.sys-driver wisten de Noord-Koreaanse (staats)hackers van Lazarus APT-groep de privileges op getroffen systemen te manipuleren. Hierdoor konden zij vervolgens een FUDModule rootkit installeren die de inbreuk moest verhullen. Dit ontdekten onderzoekers van securityspecialist Gen Digital.
Volgens de securityspecialisten was de misbruikte zero-day kwetsbaarheid een zogenoemde a Bring Your Own Vulnerable Driver (BYOVD)-kwetsbaarheid in de Windows Ancillary Function Driver for WinSock (AFD.sys). Deze driver fungeert als een toegangspunt voor de Windows Kernel voor het Winsock-protocol.
BYOVD-aanvallen
Een BYOVD-aanval laat hackers drivers installeren met bekende kwetsbaarheden. Op de getroffen systemen worden deze vervolgens misbruikt voor privileges op kernel-niveau. Vaak worden hierbij drivers van andere (software)aanbieders misbruikt, denk aan antivirus- of hardware-drivers. Dit soort drivers hebben vaak hoge privileges nodig voor contact met de kernel.
Volgens het onderzoek was de kwetsbaarheid in AFD.sys extra gevaarlijk omdat deze standaard op alle Windows-toestellenis geïnstalleerd. Dit stelde de hackers in staat deze aanval uit te voeren, zonder eerst een oudere kwetsbare driver te installeren die mogelijk door Windows kon worden geblokkeerd en ontdekt.
Opgelost in Patch Tuesday-update
Microsoft is op de hoogte van de nieuwe kwetsbaarheid in de driver en heeft deze in de recente Patch Tuesday-update van augustus 2024 gerepareerd.
Lees ook: Lazarus Group slaat op kernelniveau toe via Windows AppLocker-driver