Pesquisadores de threat intel descobrem vulnerabilidade desconhecida no Windows

A exploração dessa brecha permite que os atacantes ganhem privilégios no sistema infectado

Compartilhar:

Os pesquisadores Boris Larin e Mert Degirmenci da Kaspersky identificaram no início de abril de 2024 uma vulnerabilidade desconhecida no Windows que foi designada por CVE-2024-30051. A descoberta foi feita no contexto da investigação da vulnerabilidade da biblioteca principal do Windows DWM que eleva privilégio (CVE-2023-36033). A correção para essa nova vulnerabilidade está disponível desde 14 de maio, dentro do pacote de atualização lançado pela Microsoft na última semana.

‏ ‏​‍
Em 1º de abril de 2024, um documento enviado ao VirusTotal chamou a atenção dos pesquisadores da Kaspersky. Com um nome de arquivo descritivo, ele sugeria uma potencial vulnerabilidade do sistema operacional Windows. Apesar do inglês incorreto e da falta de detalhes sobre como acionar a vulnerabilidade, o documento descreveu um processo de exploração idêntico à exploração de dia zero achada em 2023 (CVE-2023-36033), embora fossem diferentes.

 

Suspeitando que essa vulnerabilidade fosse fictícia ou inexplorável, a equipe prosseguiu com a investigação. Uma verificação rápida revelou que se tratava de algo desconhecido (zero-day) e genuíno, capaz de aumentar os privilégios no sistema atacado. A Kaspersky relatou imediatamente as descobertas à Microsoft, que verificou a vulnerabilidade e atribuiu-lhe o código CVE-2024-30051.

‏ ‏​‍
Após o relatório, a Kaspersky começou a monitorar as explorações e ataques usando esta vulnerabilidade até então desconhecida. Em meados de abril, a equipe detectou que essa vulnerabilidade foi explorada, por meio de um exploit usado em conjunto com o trojan bancário QakBot e outras pragas, indicando que vários grupos tiveram acesso à vulnerabilidade.

‏ ‏​‍
“Achamos o documento do VirusTotal intrigante, devido à sua natureza descritiva e decidimos investigar mais a fundo, o que nos levou a descobrir esta vulnerabilidade crítica de zero-day. A velocidade com que os grupos de cibercriminosos estão integrando esta exploração em seu arsenal ressalta a importância das atualizações e vigilância na segurança corporativa”, disse Boris Larin, principal pesquisador de segurança da Kaspersky GReAT.
‏ ‏​‍
A Kaspersky divulgará mais detalhes técnicos da CVE-2024-30051 assim que a maioria dos usuários atualizarem o Windows. A Kaspersky agradece à Microsoft pela pronta análise e lançamento das correções. Os produtos da vendor foram atualizados para detectar exploits e ataques que usam a CVE-2024-30051 com os seguintes veredictos:

 

PDM:Exploit.Win32.Generic; PDM:Trojan.Win32.Generic; UDS:DangerousObject.Multi.Generic; Trojan.Win32.Agent.gen; e Trojan.Win32.CobaltStrike.gen

 

Sobre o QakBot, a Kaspersky rastreia esse trojan bancário sofisticado desde sua descoberta em 2007. Originalmente, ele roubava credenciais bancárias, mas o QakBot evoluiu significativamente, adquirindo novas funcionalidades, como roubo de e-mail, keylogging e a capacidade de se espalhar e instalar ransomware. O malware é conhecido por suas atualizações e melhorias frequentes, o que o torna uma ameaça persistente no cenário da cibersegurança. Nos últimos anos, observou-se que o QakBot se aproveita de outras botnets, como o Emotet, para distribuição.

 

Conteúdos Relacionados

Security Report | Overview

Domínios maliciosos foram acessados 114 mil vezes por usuários, aponta Laboratório

Grupos criminosos especializados em ataques virtuais estão desenvolvendo campanhas fraudulentas por meio da manipulação de vídeos deepfake, utilizando a imagem...
Security Report | Overview

Governo Federal registra recorde de vazamentos de dados em 2024

CTIR Gov registrou 3.253 vazamentos de dados no ano, número superior ao detectado entre 2020 e 2023. A Abrac alertou...
Security Report | Overview

Organizações educacionais pagam resgate mais alto que o exigido, aponta relatório

Apesar da queda no número de ataques, custos de recuperação de ransomware no setor de educação aumentaram
Security Report | Overview

Políticas para APIs: O que o Brasil pode aprender com modelos internacionais?

As políticas de adoção de APIs pelos governos globais são muito variadas. Cada país enfatiza um aspecto da publicação e...