MÜNCHEN (IT BOLTWISE) – Eine Zero-Day-Schwachstelle in Windows erlaubt es der Hackergruppe Lazarus, auf Kernel-Ebene zuzugreifen und das Rootkit Fudmodule zu installieren. Sicherheitsforscher haben die Aktivitäten seit Juni beobachtet und Microsoft informiert.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Die nordkoreanische Hackergruppe Lazarus nutzt eine Schwachstelle in Windows aus, um einen Kernelzugriff zu erlangen und das Rootkit Fudmodule zu installieren. Diese Schwachstelle, die unter der Bezeichnung CVE-2024-38193 registriert ist, hat einen CVSS-Wert von 7,8 und wird daher als kritisch eingestuft. Für die Ausnutzung der Schwachstelle benötigt der Angreifer lediglich Zugriff auf ein einfaches Nutzerkonto, und die Angriffskomplexität wird als gering eingeschätzt.
Microsoft hat am 13. August einen Patch veröffentlicht, der die Schwachstelle in Windows 10, Windows 11 und allen gängigen Windows-Server-Versionen ab 2008 behebt. Angesichts der aktiven Ausnutzung der Lücke wird dringend empfohlen, das Update umgehend zu installieren, falls dies noch nicht geschehen ist.
Die Schwachstelle befindet sich in einem Windows-Treiber namens AFD.sys (Ancillary Function Driver), der einen Kernel-Einstiegspunkt für Winsock darstellt. Dieser Treiber ermöglicht es Angreifern, auf sensible Systembereiche zuzugreifen, auf die normalerweise weder Benutzer noch Administratoren zugreifen können. Dies gaben die Forscher von Gen Digital in einem Blogbeitrag bekannt.
Die Lazarus-Gruppe nutzte diese Schwachstelle, um das Rootkit Fudmodule zu installieren. Dieses Rootkit wurde entwickelt, um sich vor Sicherheitstools zu verbergen und kann durch das Ändern von Kernelvariablen und das Entfernen von Kernel-Callbacks verschiedene Überwachungsfunktionen von Windows deaktivieren. Sicherheitsforscher des Unternehmens Eset haben Fudmodule als äußerst gefährlich eingestuft und beobachtet, wie es versucht, Windows-Systeme zu kompromittieren.
Lazarus ist bereits seit mindestens 2009 aktiv und hat sich in der Vergangenheit vor allem auf die Kryptowährungsbranche sowie Unternehmen aus der Luft- und Raumfahrt konzentriert. Die Gruppe nutzte gestohlene Gelder aus ihren Cyberangriffen, die sie unter anderem über den Kryptomixer Tornado Cash wusch, dessen Entwickler im Sommer 2022 verhaftet wurden.
Angesichts der schwerwiegenden Auswirkungen dieser Schwachstelle und der aktiven Angriffe ist es entscheidend, dass Unternehmen und Nutzer die von Microsoft bereitgestellten Updates so schnell wie möglich installieren, um sich vor möglichen Angriffen zu schützen.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.