Про Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193) и другие EoP уязвимости Windows из августовского Patch Tuesday. Всего в августовском MSPT было 3 EoP с признаками эксплуатации вживую. У них идентичные описания: злоумышленник может поднять права на хосте до уровня SYSTEM. Уязвимость в Windows Kernel эксплуатировать сложнее, т.к. нужно выиграть race condition.

Только для EoP в Windows Ancillary Function Driver (AFD.sys) есть информация, кто именно её эксплуатирует. Эксплуатирует её известная группировка Lazarus. Об этом сообщается в пресс-релизе Gen Digital, компании стоящей за антивирусами Avira и Avast. Для нейтрализации ИБ продуктов в процессе атаки злоумышленники Lazarus используют руткит Fudmodule. Это привет тем, кто считает, что раз на хосте стоит EDR, то хост полностью защищён и обновлять его уже необязательно. 😏