CVE-2024-38193

Versões do Microsoft Windows anteriores à atualização de agosto de 2024

O problema está relacionado a uma vulnerabilidade do tipo “use-after-free” no Driver de Funções Auxiliares do Windows para WinSock, que permite que invasores manipulem estruturas do kernel e obtenham acesso de leitura e gravação. Essa vulnerabilidade foi explorada pelo Lazarus Group, um grupo APT ligado à Coreia do Norte, para obter privilégios de SISTEMA em sistemas comprometidos. A vulnerabilidade foi usada em conjunto com um rootkit chamado FudModule para evitar a detecção, desativando os recursos de monitoramento do Windows. A Microsoft lançou um patch para essa vulnerabilidade em sua atualização de agosto de 2024.

Para resolver o problema, aplique as atualizações de agosto de 2024 lançadas pela Microsoft, que incluem um patch para o Windows Ancillary Function Driver for WinSock vulnerável. Como solução alternativa temporária, considere desativar o driver vulnerável ou restringir o acesso aos pontos de extremidade da API afetados até que um patch esteja disponível. No entanto, a solução mais eficaz é aplicar o patch o mais rápido possível para evitar a exploração.