cve-2024-38193 - RunkIntel

# CVE-2024-38193 - Windows AFD.sys Elevation of Privilege (Lazarus / FudModule) > [!high] > Vulnerabilidade use-after-free no driver afd.sys (Ancillary Function Driver for WinSock) que permite escalonamento de privilégios para SYSTEM. Explorada como zero-day pelo subcluster **Citrine Sleet** do Lazarus Group para implantar a segunda geração do rootkit FudModule em agosto de 2024, demonstrando pesquisa contínua de drivers legítimos do Windows como vetor de ataque. ## Visão Geral CVE-2024-38193 é uma vulnerabilidade **zero-day de escalonamento de privilégios** no driver `afd.sys` (Ancillary Function Driver for WinSock), componente fundamental da pilha de rede do [[microsoft-windows|Microsoft Windows]] responsável pelo suporte a operações de socket de baixo nível. A falha, do tipo use-after-free, permite que um atacante com acesso local eleve seus privilégios para SYSTEM, contornando proteções de kernel e mecanismos de segurança como Credential Guard e drivers de produtos EDR. O [[g0032-lazarus-group|Lazarus Group]], específicamente o subcluster [[citrine-sleet|Citrine Sleet]] (rastreado pela Microsoft), explorou esta CVE como zero-day no segundo semestre de 2024 para implantar versões atualizadas do rootkit **FudModule** em modo kernel. A Gen Threat Labs descobriu a exploração ativa e notificou a Microsoft antes da divulgação pública no Patch Tuesday de agosto de 2024. A exploração permite ao FudModule manipular diretamente estruturas de dados do kernel, desabilitar processos protegidos de segurança (PPL), e operar com invisibilidade face a produtos EDR convencionais. Esta é a segunda CVE em kernel do Windows explorada pelo Lazarus em 2024 para o FudModule - a primeira sendo [[cve-2024-21338|CVE-2024-21338]] no driver `appid.sys` em fevereiro de 2024. O padrão demonstra capacidade madura de desenvolvimento de exploits kernel-mode, com uma equipe de pesquisa dedicada dentro do grupo que prospecta continuamente drivers do Windows legítimos como superfície de ataque. A seleção do `afd.sys` é estratégica: como driver de rede amplamente utilizado, sua presença é universal em todos os sistemas Windows modernos e sua remoção ou bloqueio causaria disfunção operacional. > [!latam] > O **Lazarus Group / Citrine Sleet** tem histórico documentado de ataques a exchanges de criptomoedas e instituições financeiras na **América Latina**, incluindo operações no Brasil. A capacidade de implantar o rootkit FudModule via CVE-2024-38193 torna ineficazes soluções EDR convencionais sem defesas em nível de hypervisor (VBS/HVCI). Organizações no setor financeiro e de criptomoedas na região devem verificar urgentemente a aplicação das atualizações de agosto de 2024 e avaliar se possuem visibilidade de atividade kernel anômala em seus endpoints críticos. ## Cadeia de Exploração ```mermaid graph TB ACC["Acesso Inicial Phishing / Watering Hole / Job Lure"] -->|"Execução com baixo privilégio"| LPE["CVE-2024-38193 use-after-free afd.sys"] LPE -->|"Primitiva UAF em socket context"| SYS["Privilégio SYSTEM Acesso irrestrito ao kernel"] SYS -->|"Carregamento do rootkit v2"| FUDMOD["FudModule 2.0 Kernel-mode - invisível ao OS"] FUDMOD -->|"Bypass de PPL e EDR"| BLIND["Cegar defesas AV / EDR / PPL desabilitados"] BLIND -->|"Persistência e coleta"| OBJ["Roubo Financeiro Crypto / SWIFT / Banking"] ``` ## Produtos Afetados | Produto | Versões Afetadas | Versão Corrigida | |---------|-----------------|-----------------| | Windows 10 (todas versões) | Antes de agosto de 2024 | KB5041580 | | Windows 11 (todas versões) | Antes de agosto de 2024 | KB5041571 | | Windows Server 2016 | Antes de agosto de 2024 | KB5041773 | | Windows Server 2019 | Antes de agosto de 2024 | KB5041578 | | Windows Server 2022 | Antes de agosto de 2024 | KB5041160 | ## Detalhes Técnicos O driver `afd.sys` implementa o suporte a Windows Sockets (Winsock) no kernel, servindo como intermediário entre aplicações de rede e os drivers de protocolo de nível mais baixo. A vulnerabilidade use-after-free ocorre durante o processamento de certas operações de socket: um objeto de contexto de socket é liberado durante o tratamento de uma operação específica enquanto outra thread ainda mantém uma referência ao ponteiro, criando uma janela de exploração onde o atacante pode controlar a região de memória liberada. O exploit do [[citrine-sleet|Citrine Sleet]] explora essa primitiva para: 1. **Trigger da condição UAF:** Usar duas threads concorrentes com operações de socket específicas para criar a condição de race condition que resulta no UAF 2. **Heap spray:** Preencher a região de memória liberada com estruturas de dados controladas pelo atacante 3. **Primitiva kernel R/W:** Transformar o UAF em uma primitiva arbitrária de leitura e escrita em memória kernel 4. **Escalação de privilégios:** Modificar o token EPROCESS do processo atacante para herdar privilégios SYSTEM 5. **Deploy do FudModule:** Com acesso kernel, carregar e inicializar o rootkit FudModule que neutraliza drivers EDR **Diferença em relação ao CVE-2024-21338:** Enquanto o exploit anterior usava o `appid.sys` (driver AppLocker), o `afd.sys` é ainda mais fundamental ao sistema operacional e presente em configurações que desabilitam o AppLocker. Isso demonstra que o Lazarus mantém múltiplos zero-days de kernel em paralelo, alternando conforme cada vetor é descoberto e corrigido. **TTPs utilizadas:** - [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - escalonamento de privilégios via kernel zero-day - [[t1014-rootkit|T1014 - Rootkit]] - implantação do FudModule em modo kernel após escalação - [[t1562-001-disable-tools|T1562.001 - Impair Defenses: Disable or Modify Tools]] - desabilitar EDR e PPL via rootkit - [[t1055-process-injection|T1055 - Process Injection]] - técnicas de injeção pós-escalonamento ## Mitigação **Patch oficial:** - Aplicar atualizações do Patch Tuesday de agosto de 2024 (KB5041580/KB5041571/KB5041773/KB5041578/KB5041160) - Verificar que o `afd.sys` foi atualizado para a versão corrigida **Defesas em profundidade:** - Habilitar **Virtualization-Based Security (VBS)** e **Hypervisor-Protected Code Integrity (HVCI)** - fornecem proteções adicionais que dificultam exploração de vulnerabilidades kernel mesmo sem patch - Implementar monitoramento de operações de socket anômalas em endpoints críticos - Usar EDR com capacidade de detecção em nível kernel/hypervisor (não apenas userspace) - Monitorar criação de threads com privilégios anômalos no `afd.sys` - Habilitar auditoria de modificação de tokens de processo no Windows Event Log **Detecção de FudModule:** - Verificar integridade de handles de processos de segurança (PPL ativo vs. funcionamento) - Detectar discrepâncias entre processos visíveis ao OS vs. ferramentas de análise forense - Monitorar modificações de estruturas EPROCESS via ferramentas de análise kernel ## Referências - [NVD - CVE-2024-38193](https://nvd.nist.gov/vuln/detail/CVE-2024-38193) - [Microsoft MSRC Advisory](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38193) - [Gen Threat Labs - Lazarus Zero-Day CVE-2024-38193](https://genthreatlabs.com/blog/lazarus-zero-day-CVE-2024-38193) - [CISA KEV Entry](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Notas Relacionadas - [[g0032-lazarus-group|Lazarus Group]] - explorou como zero-day para segunda geração do FudModule - [[citrine-sleet|Citrine Sleet]] - subcluster Lazarus identificado pela Microsoft nesta exploração específica - [[Lazarus FudModule Rootkit Campaign 2024]] - campanha contínua com exploits kernel zero-day em 2024 - [[cve-2024-21338|CVE-2024-21338]] - zero-day kernel anterior do mesmo grupo (appid.sys, fevereiro 2024) - [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - escalonamento via kernel zero-day - [[t1014-rootkit|T1014 - Rootkit]] - implantação do FudModule após escalação para kernel - [[t1562-001-disable-tools|T1562.001 - Impair Defenses: Disable or Modify Tools]] - desabilitar EDR e PPL via rootkit - [[financial]] - setor-alvo prioritário do Lazarus Group em roubos de alto valor - [[cryptocurrency|criptomoedas]] - alvo frequente em campanhas Lazarus de roubo financeiro