立即修复，微软驱动程序关键漏洞已被APT组织利用

近日，立即修复微软被曝Windows AFD.sys漏洞（编号
：CVE-2024-38193）正在被黑客组织利用
。微软该漏洞被归类为自带易受攻击驱动程序（BYOVD）漏洞，驱动可影响Windows套接字的程序注册I/O（RIO）扩展 ，并允许攻击者远程接管整个系统 
。关键

漏洞影响版本包括Windows 11（ARM64 、漏洞x64  ，已被用多个版本）、组织利Windows 10（ARM64、立即修复x64 、微软32位 ，驱动多个版本） 、程序Windows Server 2008
 、关键2012、漏洞2016、源码下载已被用2019、2022（多个版本） 。

目前，已有迹象表明黑客组织正在利用该漏洞发起攻击  ，例如朝鲜黑客组织Lazarus就是其中之一，其安装名为FUDModule的根工具包（rootkit）
，可在目标系统上获得最高权限。2024年8月，微软发布安全更新已经修复该漏洞，强烈建议组织及时进行修复。

漏洞概述

CVE-2024-38193漏洞存在于Windows辅助功能驱动程序（AFD.sys）中。AFD.sys是Winsock协议栈的源码库关键组件之一，处理底层网络调用，并在内核模式下执行操作。漏洞的根本原因是AFD.sys在处理特定系统调用时缺乏适当的边界检查，导致攻击者可以构造恶意输入，触发内存溢出或其他未定义行为，从而绕过安全检查，提升权限
。由于AFD.sys在所有Windows系统中广泛部署 ，这使得该漏洞特别危险。

(1) 漏洞触发

攻击者首先通过恶意应用程序或远程代码执行方式 ，向AFD.sys驱动程序发送恶意构造的云计算系统调用请求
 。通过精心构造的输入，攻击者可以让AFD.sys在内核模式下执行越权操作 。这种攻击方式利用了Windows内核的漏洞 ，能够在用户态和内核态之间绕过安全边界 ，执行未授权的操作。

(2) 权限提升

一旦漏洞触发 ，攻击者可以利用漏洞执行任意代码，并获得SYSTEM权限。通过这种方式 ，攻击者能够完全控制受影响的设备，模板下载部署恶意软件或修改系统配置 。获得SYSTEM权限后，攻击者可以执行一系列高级操作，包括禁用安全软件
、修改系统文件和执行其他恶意活动 。

(3) FUDModule根工具包的安装

获得SYSTEM权限后
，攻击者会安装FUDModule根工具包。FUDModule是一种专门设计用于隐藏攻击痕迹 、绕过安全监控的复杂恶意软件 。通过关闭Windows的监控功能，FUDModule可以让攻击者在受害者系统中保持长期隐蔽。高防服务器FUDModule的存在使得攻击者能够在不被发现的情况下持续控制目标系统，增加了防御的难度 。

修复建议

微软已经发布了针对CVE-2024-38193的安全补丁，覆盖了多个Windows版本。建议所有用户和组织尽快应用补丁 ，避免系统遭到利用 。及时应用补丁是防止漏洞利用的最有效手段之一，用户应确保系统和应用程序都安装了最新的安全更新。服务器租用

参考来源：https://cybersecuritynews.com/windows-driver-use-after-free-vulnerability/