Die Kaspersky-Forscher Boris Larin und Mert Degirmenci haben eine neue Zero-Day-Schwachstelle in Windows mit der Bezeichnung CVE-2024-30051 gefunden.
Diese Entdeckung wurde im Zuge der Untersuchung der ,Windows DWM Core Library Elevation of Privilege‘-Schwachstelle (CVE-2023-36033 Anfang April 2024 gemacht. Ein Patch wurde am 14. Mai 2024 im Rahmen des ,May Patch Tuesday‘ von Microsoft veröffentlicht.
Am 1. April 2024 erregte ein auf VirusTotal hochgeladenes Dokument die Aufmerksamkeit der Kaspersky-Forscher. Das Dokument mit einem aussagekräftigen Dateinamen wies auf eine potenzielle Sicherheitslücke im Windows-Betriebssystem hin. Trotz des gebrochenen Englisch und der fehlenden Details wie die Schwachstelle ausgelöst werden kann, beschrieb das Dokument einen Exploit-Prozess, der mit dem Zero-Day-Exploit für CVE-2023-36033 glich, obwohl sich die Schwachstellen voneinander unterschieden. Das Team vermutete, die Sicherheitslücke sei entweder erfunden oder nicht ausnutzbar; trotzdem setzte es seine Untersuchung fort. Eine schnelle Überprüfung ergab jedoch, dass es sich tatsächlich um eine Zero-Day-Schwachstelle handelt, die zu einer Ausweitung der Systemprivilegien führen kann.
Kaspersky meldete seine Erkenntnisse umgehend an Microsoft. Anschließend wurde die Schwachstelle verifiziert und als CVE-2024-30051 bezeichnet.
Nach der Meldung begannen die Experten von Kaspersky die Exploits und Angriffe, die diese Zero-Day-Schwachstelle nutzen, näher unter die Lupe zu nehmen. Mitte April entdeckte das Team einen Exploit für CVE-2024-30051 und beobachtete seine Verwendung in Verbindung mit QakBot sowie anderer Malware. Dies deutet darauf hin, dass mehrere Bedrohungsakteure Zugriff auf diesen Exploit haben.
„Wir fanden das Dokument auf VirusTotal aufgrund seines aussagekräftigen Charakters sehr interessant und haben es deshalb näher untersucht. So konnten wir diese kritische Zero-Day-Schwachstelle entdecken“, sagt Boris Larin, Principal Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. „Die Geschwindigkeit, mit der Bedrohungsakteure diesen Exploit in ihr Arsenal integrieren, unterstreicht wie wichtig es ist, rechtzeitig Updates vorzunehmen und insgesamt immer wachsam zu bleiben, was die Cybersicherheit betrifft.“
Kaspersky plant, technische Details zu CVE-2024-30051 zu veröffentlichen, sobald genügend Zeit vergangen ist, damit die meisten Nutzer ihre Windows-Systeme aktualisieren konnten. Kaspersky bedankt sich bei Microsoft für die prompte Analyse und Veröffentlichung von Patches.
Die Kaspersky-Produkte wurden aktualisiert, um die Ausnutzung von CVE-2024-30051 und damit verbundener Malware mit den folgenden Ergebnissen zu erkennen:
- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generic
- UDS:DangerousObject.Multi.Generic
- Trojan.Win32.Agent.gen
- Trojan.Win32.CobaltStrike.gen
Banking-Trojaner QakBot – ein alter Bekannter
Kaspersky verfolgt den fortschrittlichen Banking-Trojaner QakBot seit seiner Entdeckung im Jahr 2007. Ursprünglich für den Diebstahl von Bankdaten konzipiert, hat sich QakBot erheblich weiterentwickelt und neue Funktionen erworben, wie E-Mail-Diebstahl, Keylogging und die Fähigkeit, sich selbst zu verbreiten sowie Ransomware zu installieren. Die Malware ist für ihre häufigen Updates und Verbesserungen bekannt; dies macht sie zu einer ständigen Bedrohung in der Cybersicherheitslandschaft. In den vergangenen Jahren wurde beobachtet, dass QakBot andere Botnets, wie beispielsweise Emotet, für die Verbreitung nutzt.
(pd/ Kaspersky)