Comment se protéger efficacement de la CVE-2024-38193 sur Windows ?

Sécurité informatique : le groupe Lazarus exploite une faille zero-day dans un pilote Windows

Lazarus exploite une faille zero-day dans un pilote Windows

Microsoft a récemment corrigé une faille de sécurité zero-day importante dans le pilote “AFD.sys” de Windows, utilisé pour le protocole Winsock. Cette vulnérabilité a été exploitée par le groupe de pirates Lazarus afin d’installer le rootkit FUDModule sur les machines concernées. Découvrons les détails de cette attaque.

Découverte de la faille par Gen Digital

La faille de sécurité dans le pilote AFD.sys a été découverte par les chercheurs en sécurité de chez Gen Digital. Avant d’être identifiée et corrigée par Microsoft, cette vulnérabilité a été utilisée par les pirates de Lazarus pour mener des attaques ciblées. Grâce à cette faille, les pirates ont pu déployer leur rootkit sur les machines Windows, bypassant ainsi les mesures de sécurité classiques.

Utilisation de la technique BYOVD par les pirates

Les membres du groupe Lazarus ont exploité la technique “Bring Your Own Vulnerable Driver” (BYOVD) pour exploiter la faille dans le pilote AFD.sys. En implantant un pilote légitime mais vulnérable sur la machine cible, les pirates ont pu exécuter des actions malveillantes, telles que l’installation du rootkit FUDModule. Ces attaques ont notamment visé des professionnels du secteur de la crypto-monnaie au Brésil.

Protection contre la CVE-2024-38193

Les versions de Windows affectées par la CVE-2024-38193 sont Windows 10, Windows 11 et les versions de Windows Server à partir de Windows Server 2008. Toutefois, Microsoft a publié des correctifs de sécurité dans les dernières mises à jour cumulatives pour ces systèmes. Il est donc recommandé d’installer ces mises à jour pour se prémunir contre cette vulnérabilité.

Source : www.it-connect.fr