A Microsoft recentemente corrigiu uma falha de segurança no Windows que estava sendo explorada como um zero day pelo Lazarus Group, um ator de ameaças patrocinado pelo estado da Coreia do Norte. A vulnerabilidade de segurança, rastreada como CVE-2024-38193, recebeu uma pontuação CVSS de 7,8 e foi descrita como uma falha de escalonamento de privilégios no driver Windows Ancillary Function Driver (AFD.sys) para WinSock. Segundo a Microsoft, um atacante que explorasse essa vulnerabilidade com sucesso poderia obter privilégios de SISTEMA, o que significa acesso completo ao dispositivo. A empresa abordou essa falha em sua atualização mensal de segurança, conhecida como Patch Tuesday.

A descoberta e o relato da vulnerabilidade foram creditados aos pesquisadores Luigino Camastra e Milánek, da Gen Digital, uma empresa proprietária de marcas de software de segurança como Norton, Avast, Avira, AVG, ReputationDefender e CCleaner. Segundo os pesquisadores, a exploração da vulnerabilidade foi descoberta em junho de 2024 e destacou que os ataques foram marcados pelo uso de um rootkit chamado FudModule, que tinha o objetivo de evadir a detecção. Embora os detalhes técnicos exatos associados às intrusões ainda sejam desconhecidos, a vulnerabilidade se assemelha a outra falha de escalonamento de privilégios que a Microsoft corrigiu em fevereiro de 2024.

Essa falha anterior, rastreada como CVE-2024-21338, estava enraizada no driver AppLocker (appid.sys) do Windows e também foi utilizada pelo Lazarus Group para implantar o rootkit FudModule. O diferencial desses ataques é que, ao contrário de um ataque tradicional de Bring Your Own Vulnerable Driver (BYOVD), em que os invasores trazem um driver vulnerável para o sistema para contornar medidas de segurança, esses ataques aproveitam uma falha de segurança em um driver já instalado no sistema Windows.