微软在上周的例行安全更新中修复了一个 0day 漏洞 CVE-2024-38193，它位于 AFD.sys 中，属于释放后使用漏洞。微软警告攻击者利用该漏洞能获得系统权限，运行不受信任的代码。软件巨人当时没有披露谁在利用该漏洞。本周一，向微软报告该漏洞的组织 Gen 的研究人员披露，朝鲜黑客组织 Lazarus 在利用该漏洞安装 rootkit。研究人员称，攻击者针对的是从事加密货币工程或在航空航天领域工作的目标，旨在入侵其雇主的网络，以及窃取加密货币。Lazarus 利用该漏洞安装了 FudModule——它属于被称为 rootkit 的恶意程序。微软知道该漏洞之后花了半年时间才修复。黑客利用该漏洞的时间显然远长于半年。

https://arstechnica.com/security/2024/08/windows-0-day-was-exploited-by-north-korea-to-install-advanced-rootkit/
https://www.gendigital.com/blog/news/innovation/protecting-windows-users