【安全资讯】Windows零日漏洞CVE-2024-38193被利用：PoC已发布

概要：

近期，Windows系统中发现了一个严重的使用后释放（use-after-free）漏洞，编号为CVE-2024-38193。该漏洞的CVSS评分为7.8，可能导致攻击者提升权限并执行任意代码，给用户和企业带来重大安全威胁。安全研究员Luca Ginex对该漏洞进行了深入分析，揭示了其利用过程及潜在影响。

主要内容：

CVE-2024-38193漏洞存在于afd.sys Windows驱动程序中，允许攻击者绕过正常的安全限制，访问通常对大多数用户和管理员不可接触的敏感系统区域。根据Gen Digital的报告，该漏洞的复杂性和隐蔽性使其在黑市上的价值可能高达数十万美元。研究人员追踪到，Lazarus Group利用此漏洞安装名为FudModule的恶意软件，该恶意软件在2022年被AhnLab和ESET首次检测到。

该漏洞源于afd.sys驱动程序中AfdRioGetAndCacheBuffer()与AfdRioDereferenceBuffer()函数之间的竞争条件。攻击者通过多阶段过程进行利用：首先，利用堆喷射技术在非分页池中填充伪造的RIOBuffer结构，随后创建两个并发线程，在缓冲区仍在使用时将其注销，导致使用后释放场景。最终，攻击者利用释放的RIOBuffer结构控制缓存内容并提升权限。

独立安全研究员Nephster已在GitHub上发布了CVE-2024-38193的概念验证（PoC）代码，进一步增加了该漏洞的潜在威胁。该漏洞已在2024年8月的补丁星期二中修复，用户被强烈建议及时应用补丁，以降低潜在攻击的风险。