Windows corrige vulnerabilidade zero-day explorada pelo grupo Lazarus

O grupo de cibercriminosos norte-coreano Lazarus aproveitou uma vulnerabilidade zero-day presente no driver AFD.sys da Windows para aumentar os privilégios e instalar o rootkit FUDModule nos sistemas afetados. A Microsoft corrigiu a falha, registada como CVE-2024-38193, na sua mais recente Patch Tuesday, em conjunto com outras sete vulnerabilidades zero-day.

A ameaça foi detetada por investigadores da Gen Digital, que afirmam que o grupo Lazarus explorou a falha presente no driver AFD.sys como uma vulnerabilidade zero-day para instalar o rookit FUDModule, de forma a evitar a deteção de ameaças e desativando as funcionalidades de monitorização do Windows.

“No início de junho, Luigino Camastra e Milanek descobriram que o grupo Lazarus estava a explorar uma falha de segurança oculta numa parte fundamental do Windows chamada driver AFD.sys”, afirma a Gen Digital, que explica: “Esta falha permitia que tivessem acesso não autorizado a áreas sensíveis do sistema. Também descobrimos que o grupo usava um tipo especial de malware chamado FUDModule para esconder as suas atividades maliciosas do software de segurança”.

O alerta para esta vulnerabilidade mais perigosa soou depois de ter sido detetada dentro do AFD.sys, um driver que vem instalado em todos os dispositivos Windows, o que permitia que os cibercriminosos atacassem o sistema sem terem de instalar um driver mais antigo e vulnerável que pudesse ser detetado e bloqueado facilmente pelo sistema Windows.