trojan-malware-cavalo-de-troia.jpg

Ataques exploram vulnerabilidade desconhecida no Windows

Da Redação
21/05/2024

Os pesquisadores Boris Larin e Mert Degirmenci, da Kaspersky, identificaram, no início de abril de 2024, uma vulnerabilidade desconhecida no Windows que foi catalogada como CVE-2024-30051. A descoberta foi feita no contexto da investigação da vulnerabilidade da biblioteca principal do Windows DWM, que eleva privilégio (CVE-2023-36033). A correção para essa nova vulnerabilidade está disponível desde 14 de maio, dentro do pacote de atualização lançado pela Microsoft na última terça-feira.

Em 1º de abril de 2024, um documento enviado ao VirusTotal chamou a atenção dos pesquisadores da Kaspersky. Com um nome de arquivo descritivo, ele sugeria uma potencial vulnerabilidade do sistema operacional Windows. Apesar do inglês incorreto e da falta de detalhes sobre como acionar a vulnerabilidade, o documento descreveu um processo de exploração idêntico à exploração de dia zero achada em 2023 (CVE-2023-36033), embora fossem diferentes. Suspeitando que essa vulnerabilidade fosse fictícia ou inexplorável, a equipe prosseguiu com a investigação. Uma verificação rápida revelou que se tratava de algo desconhecido (zero-day) e genuíno, capaz de aumentar os privilégios no sistema atacado.

Veja isso
Raspberry é distribuído através de arquivos de script do Windows
Autenticação do Windows Hello é ignorada em laptops populares

A Kaspersky relatou imediatamente as descobertas à Microsoft, que verificou a vulnerabilidade e atribuiu-lhe o código CVE-2024-30051.

Após o relatório, a Kaspersky começou a monitorar as explorações e ataques usando esta vulnerabilidade até então desconhecida. Em meados de abril, a equipe detectou que essa vulnerabilidade foi explorada, através de um exploit usado em conjunto com o trojan bancário QakBot e outras pragas, indicando que vários grupos tiveram acesso à vulnerabilidade.

Achamos o documento do VirusTotal intrigante, devido à sua natureza descritiva e decidimos investigar mais a fundo, o que nos levou a descobrir esta vulnerabilidade crítica de zero-day”, disse Boris Larin, principal pesquisador de segurança da Kaspersky GReAT. “A velocidade com que os grupos de cibercriminosos estão integrando esta exploração em seu arsenal ressalta a importância das atualizações e vigilância na segurança corporativa”.

A Kaspersky divulgará mais detalhes técnicos da CVE-2024-30051 assim que a maioria dos usuários atualizarem o Windows. A Kaspersky agradece à Microsoft pela pronta análise e lançamento das correções.

Os produtos Kaspersky foram atualizados para detectar exploits e ataques que usam a CVE-2024-30051 com os seguintes veredictos:

PDM:Exploit.Win32.Generic
PDM:Trojan.Win32.Generic
UDS:DangerousObject.Multi.Generic
Trojan.Win32.Agent.gen
Trojan.Win32.CobaltStrike.gen

Sobre o QakBot, a Kaspersky rastreia esse trojan bancário sofisticado desde sua descoberta em 2007. Originalmente, ele roubava credenciais bancárias, mas o QakBot evoluiu significativamente, adquirindo novas funcionalidades, como roubo de e-mail, keylogging e a capacidade de se espalhar e instalar ransomware. O malware é conhecido por suas atualizações e melhorias frequentes, o que o torna uma ameaça persistente no cenário da cibersegurança. Nos últimos anos, observou-se que o QakBot se aproveita de outras botnets, como o Emotet, para distribuição.

Compartilhar:

Últimas Notícias