立即修复，微软驱动程序关键漏洞已被APT组织利用

近日 ，立即修复微软被曝Windows AFD.sys漏洞（编号：CVE-2024-38193）正在被黑客组织利用。微软该漏洞被归类为自带易受攻击驱动程序（BYOVD）漏洞，驱动可影响Windows套接字的程序注册I/O（RIO）扩展 ，并允许攻击者远程接管整个系统 。关键

漏洞影响版本包括Windows 11（ARM64、漏洞x64
 ，已被用多个版本）、组织利Windows 10（ARM64、立即修复x64 、微软32位  ，驱动多个版本）、程序Windows Server 2008、关键2012、漏洞2016  、源码库已被用2019、2022（多个版本）  。

目前，已有迹象表明黑客组织正在利用该漏洞发起攻击，例如朝鲜黑客组织Lazarus就是其中之一，其安装名为FUDModule的根工具包（rootkit） ，可在目标系统上获得最高权限
。2024年8月  ，微软发布安全更新已经修复该漏洞 ，强烈建议组织及时进行修复。

漏洞概述

CVE-2024-38193漏洞存在于Windows辅助功能驱动程序（AFD.sys）中。AFD.sys是Winsock协议栈的服务器租用关键组件之一
  ，处理底层网络调用 ，并在内核模式下执行操作 。漏洞的根本原因是AFD.sys在处理特定系统调用时缺乏适当的边界检查，导致攻击者可以构造恶意输入，触发内存溢出或其他未定义行为，从而绕过安全检查 ，提升权限 。由于AFD.sys在所有Windows系统中广泛部署
，这使得该漏洞特别危险。

(1) 漏洞触发

攻击者首先通过恶意应用程序或远程代码执行方式  ，向AFD.sys驱动程序发送恶意构造的云计算系统调用请求。通过精心构造的输入 ，攻击者可以让AFD.sys在内核模式下执行越权操作 。这种攻击方式利用了Windows内核的漏洞 ，能够在用户态和内核态之间绕过安全边界 ，执行未授权的操作。

(2) 权限提升

一旦漏洞触发
，攻击者可以利用漏洞执行任意代码 ，并获得SYSTEM权限
。通过这种方式 ，攻击者能够完全控制受影响的设备 ，免费模板部署恶意软件或修改系统配置 。获得SYSTEM权限后，攻击者可以执行一系列高级操作，包括禁用安全软件
、修改系统文件和执行其他恶意活动。

(3) FUDModule根工具包的安装

获得SYSTEM权限后，攻击者会安装FUDModule根工具包 。FUDModule是一种专门设计用于隐藏攻击痕迹  、绕过安全监控的复杂恶意软件。通过关闭Windows的监控功能 ，FUDModule可以让攻击者在受害者系统中保持长期隐蔽。高防服务器FUDModule的存在使得攻击者能够在不被发现的情况下持续控制目标系统 ，增加了防御的难度。

修复建议

微软已经发布了针对CVE-2024-38193的安全补丁，覆盖了多个Windows版本。建议所有用户和组织尽快应用补丁，避免系统遭到利用 。及时应用补丁是防止漏洞利用的最有效手段之一，用户应确保系统和应用程序都安装了最新的安全更新
。源码下载

参考来源 ：https://cybersecuritynews.com/windows-driver-use-after-free-vulnerability/