[bsa_pro_ad_space id=3 delay=8]

Pesquisadores de threat intel descobrem vulnerabilidade desconhecida no Windows

A exploração dessa brecha permite que os atacantes ganhem privilégios no sistema infectado

Compartilhar:

Os pesquisadores Boris Larin e Mert Degirmenci da Kaspersky identificaram no início de abril de 2024 uma vulnerabilidade desconhecida no Windows que foi designada por CVE-2024-30051. A descoberta foi feita no contexto da investigação da vulnerabilidade da biblioteca principal do Windows DWM que eleva privilégio (CVE-2023-36033). A correção para essa nova vulnerabilidade está disponível desde 14 de maio, dentro do pacote de atualização lançado pela Microsoft na última semana.

‏ ‏​‍
Em 1º de abril de 2024, um documento enviado ao VirusTotal chamou a atenção dos pesquisadores da Kaspersky. Com um nome de arquivo descritivo, ele sugeria uma potencial vulnerabilidade do sistema operacional Windows. Apesar do inglês incorreto e da falta de detalhes sobre como acionar a vulnerabilidade, o documento descreveu um processo de exploração idêntico à exploração de dia zero achada em 2023 (CVE-2023-36033), embora fossem diferentes.

 

Suspeitando que essa vulnerabilidade fosse fictícia ou inexplorável, a equipe prosseguiu com a investigação. Uma verificação rápida revelou que se tratava de algo desconhecido (zero-day) e genuíno, capaz de aumentar os privilégios no sistema atacado. A Kaspersky relatou imediatamente as descobertas à Microsoft, que verificou a vulnerabilidade e atribuiu-lhe o código CVE-2024-30051.

‏ ‏​‍
Após o relatório, a Kaspersky começou a monitorar as explorações e ataques usando esta vulnerabilidade até então desconhecida. Em meados de abril, a equipe detectou que essa vulnerabilidade foi explorada, por meio de um exploit usado em conjunto com o trojan bancário QakBot e outras pragas, indicando que vários grupos tiveram acesso à vulnerabilidade.

‏ ‏​‍
“Achamos o documento do VirusTotal intrigante, devido à sua natureza descritiva e decidimos investigar mais a fundo, o que nos levou a descobrir esta vulnerabilidade crítica de zero-day. A velocidade com que os grupos de cibercriminosos estão integrando esta exploração em seu arsenal ressalta a importância das atualizações e vigilância na segurança corporativa”, disse Boris Larin, principal pesquisador de segurança da Kaspersky GReAT.
‏ ‏​‍
A Kaspersky divulgará mais detalhes técnicos da CVE-2024-30051 assim que a maioria dos usuários atualizarem o Windows. A Kaspersky agradece à Microsoft pela pronta análise e lançamento das correções. Os produtos da vendor foram atualizados para detectar exploits e ataques que usam a CVE-2024-30051 com os seguintes veredictos:

 

PDM:Exploit.Win32.Generic; PDM:Trojan.Win32.Generic; UDS:DangerousObject.Multi.Generic; Trojan.Win32.Agent.gen; e Trojan.Win32.CobaltStrike.gen

 

Sobre o QakBot, a Kaspersky rastreia esse trojan bancário sofisticado desde sua descoberta em 2007. Originalmente, ele roubava credenciais bancárias, mas o QakBot evoluiu significativamente, adquirindo novas funcionalidades, como roubo de e-mail, keylogging e a capacidade de se espalhar e instalar ransomware. O malware é conhecido por suas atualizações e melhorias frequentes, o que o torna uma ameaça persistente no cenário da cibersegurança. Nos últimos anos, observou-se que o QakBot se aproveita de outras botnets, como o Emotet, para distribuição.

 

Conteúdos Relacionados

Security Report | Overview

ANPD é formalizada como coordenadora do Sistema Nacional de Inteligência Artificial

Como órgão de coordenação do SIA, a ANPD receberá novas atribuições. Caberá à Autarquia representar o Brasil perante organismos internacionais,...
Security Report | Overview

Nova ameaça do AllaSenha no Brasil faz setor financeiro entrar em alerta

Novo método de ataque, baseado em infecção de scripts Python e uso de plataforma Azure como Comando e Controle tem...
Security Report | Overview

95% das empresas têm problemas de segurança nas APIs, apura novo relatório

Relatório Salt Security State of API destaca ecossistemas de API em rápido crescimento, o aumento da atividade de ataques e...
Security Report | Overview

Laboratório de threat intel detecta roubo de credenciais em quase 800 empresas globais

O grupo Sophos X-Ops, focado em pesquisas no cenário cibercriminoso internacional, detectou uma nova campanha de comprometimento de credenciais válidas...