Kaspersky descobre ataques que exploram vulnerabilidade desconhecida no Windows

Os pesquisadores Boris Larin e Mert Degirmenci da Kaspersky identificaram no início de abril de 2024 uma vulnerabilidade desconhecida no Windows que foi designada por CVE-2024-30051. A descoberta foi feita no contexto da investigação da vulnerabilidade da biblioteca principal do Windows DWM que eleva privilégio (CVE-2023-36033). A correção para essa nova vulnerabilidade está disponível desde 14 de maio, dentro do pacote de atualização lançado pela Microsoft na última terça-feira.

Em 1º de abril de 2024, um documento enviado ao VirusTotal chamou a atenção dos pesquisadores da Kaspersky. Com um nome de arquivo descritivo, ele sugeria uma potencial vulnerabilidade do sistema operacional Windows. Apesar do inglês incorreto e da falta de detalhes sobre como acionar a vulnerabilidade, o documento descreveu um processo de exploração idêntico à exploração de dia zero achada em 2023 (CVE-2023-36033), embora fossem diferentes. Suspeitando que essa vulnerabilidade fosse fictícia ou inexplorável, a equipe prosseguiu com a investigação. Uma verificação rápida revelou que se tratava de algo desconhecido (zero-day) e genuíno, capaz de aumentar os privilégios no sistema atacado.

A Kaspersky relatou imediatamente as descobertas à Microsoft, que verificou a vulnerabilidade e atribuiu-lhe o código CVE-2024-30051.

Após o relatório, a Kaspersky começou a monitorar as explorações e ataques usando esta vulnerabilidade até então desconhecida. Em meados de abril, a equipe detectou que essa vulnerabilidade foi explorada, através de um exploit usado em conjunto com o trojan bancário QakBot e outras pragas, indicando que vários grupos tiveram acesso à vulnerabilidade.

“Achamos o documento do VirusTotal intrigante, devido à sua natureza descritiva e decidimos investigar mais a fundo, o que nos levou a descobrir esta vulnerabilidade crítica de zero-day”, disse Boris Larin, principal pesquisador de segurança da Kaspersky GReAT. “A velocidade com que os grupos de cibercriminosos estão integrando esta exploração em seu arsenal ressalta a importância das atualizações e vigilância na segurança corporativa”.

A Kaspersky divulgará mais detalhes técnicos da CVE-2024-30051 assim que a maioria dos usuários atualizarem o Windows.

Os produtos Kaspersky foram atualizados para detectar exploits e ataques que usam a CVE-2024-30051 com os seguintes veredictos:

• PDM:Exploit.Win32.Generic
• PDM:Trojan.Win32.Generic
• UDS:DangerousObject.Multi.Generic
• Trojan.Win32.Agent.gen
• Trojan.Win32.CobaltStrike.gen

Sobre o QakBot, a Kaspersky rastreia esse trojan bancário sofisticado desde sua descoberta em 2007. Originalmente, ele roubava credenciais bancárias, mas o QakBot evoluiu significativamente, adquirindo novas funcionalidades, como roubo de e-mail, keylogging e a capacidade de se espalhar e instalar ransomware. O malware é conhecido por suas atualizações e melhorias frequentes, o que o torna uma ameaça persistente no cenário da cibersegurança. Nos últimos anos, observou-se que o QakBot se aproveita de outras botnets, como o Emotet, para distribuição.