近日，微軟被曝Windows AFD.sys漏洞（編號：CVE-2024-38193）正在被黑客組織利用。該漏洞被歸類為自帶易受攻擊驅動程序（BYOVD）漏洞，可影響Windows套接字的注冊I/O（RIO）擴展，并允許攻擊者遠程接管整個系統。

漏洞影響版本包括Windows 11（ARM64、x64，多個版本）、Windows 10（ARM64、x64、32位，多個版本）、Windows Server 2008、2012、2016、2019、2022（多個版本）。

目前，已有跡象表明黑客組織正在利用該漏洞發起攻擊，例如朝鮮黑客組織Lazarus就是其中之一，其安裝名為FUDModule的根工具包（rootkit），可在目標系統上獲得最高權限。2024年8月，微軟發布安全更新已經修復該漏洞，強烈建議組織及時進行修復。

漏洞概述

1.漏洞成因

CVE-2024-38193漏洞存在于Windows輔助功能驅動程序（AFD.sys）中。AFD.sys是Winsock協議棧的關鍵組件之一，處理底層網絡調用，并在內核模式下執行操作。漏洞的根本原因是AFD.sys在處理特定系統調用時缺乏適當的邊界檢查，導致攻擊者可以構造惡意輸入，觸發內存溢出或其他未定義行為，從而繞過安全檢查，提升權限。由于AFD.sys在所有Windows系統中廣泛部署，這使得該漏洞特別危險。

2.漏洞利用過程

(1) 漏洞觸發

攻擊者首先通過惡意應用程序或遠程代碼執行方式，向AFD.sys驅動程序發送惡意構造的系統調用請求。通過精心構造的輸入，攻擊者可以讓AFD.sys在內核模式下執行越權操作。這種攻擊方式利用了Windows內核的漏洞，能夠在用戶態和內核態之間繞過安全邊界，執行未授權的操作。

(2) 權限提升

一旦漏洞觸發，攻擊者可以利用漏洞執行任意代碼，并獲得SYSTEM權限。通過這種方式，攻擊者能夠完全控制受影響的設備，部署惡意軟件或修改系統配置。獲得SYSTEM權限后，攻擊者可以執行一系列高級操作，包括禁用安全軟件、修改系統文件和執行其他惡意活動。

(3) FUDModule根工具包的安裝

獲得SYSTEM權限后，攻擊者會安裝FUDModule根工具包。FUDModule是一種專門設計用于隱藏攻擊痕跡、繞過安全監控的復雜惡意軟件。通過關閉Windows的監控功能，FUDModule可以讓攻擊者在受害者系統中保持長期隱蔽。FUDModule的存在使得攻擊者能夠在不被發現的情況下持續控制目標系統，增加了防御的難度。

修復建議

微軟已經發布了針對CVE-2024-38193的安全補丁，覆蓋了多個Windows版本。建議所有用戶和組織盡快應用補丁，避免系統遭到利用。及時應用補丁是防止漏洞利用的最有效手段之一，用戶應確保系統和應用程序都安裝了最新的安全更新。

參考來源：https://cybersecuritynews.com/windows-driver-use-after-free-vulnerability/