Les analystes de Kaspersky, Boris Larin et Mert Degirmenci, ont détecté une nouvelle vulnérabilité Zero Day dans Windows, identifiée comme CVE-2024-30051. Cet événement s'est produit au cours de votre enquête sur la vulnérabilité d'élévation des privilèges dans la bibliothèque DWM Core de Windows (CVE-2023-36033) selon les principes d'avril 2024. Microsoft a lancé un correctif pour cette vulnérabilité le 14 mai 2024, comme en partie de son Patch Tuesday.
Le 1er avril 2024, les analystes ont trouvé un document soumis à VirusTotal qui les a intéressés. Le fichier, qui porte le nom d'une possible vulnérabilité dans Windows, contient une description du processus d'exploitation très similaire à l'exploit zero-day pour CVE-2023-36033, mais les vulnérabilités sont distinctes. En raison des erreurs commises lors de l'utilisation de l'anglais et des détails concernant l'activation de la vulnérabilité, le document s'avère être une piste cruciale.
Kaspersky découvre une nouvelle vulnérabilité Zero-Day dans Windows avec les attaques de QakBot
On pense initialement que la vulnérabilité peut être fictive ou difficile à exploiter, une vérification rapide confirme que le traitement d'une vulnérabilité Zero Day permet d'augmenter les privilèges du système. Kaspersky a immédiatement notifié Microsoft, qui a validé la vulnérabilité et lui a attribué la dénomination CVE-2024-30051.
Selon l'information, la société de cybersécurité a commencé à surveiller les attaques utilisant la vulnérabilité Zero-Day et, en avril, l'équipe a détecté un exploit pour CVE-2024-30051, en observant son utilisation avec QakBot et d'autres logiciels malveillants, ce qui indique que plusieurs acteurs d'amenazas ont accès à cet exploit. «Nous avons trouvé le document de VirusTotal qui nous a demandé de décrire sa nature et nous avons décidé d'enquêter plus à fond, ce qui nous a permis de découvrir cette vulnérabilité critique Zero Day. « La rapidité avec laquelle les acteurs de sécurité intègrent cette exploitation dans votre arsenal sous-tend l'importance des mises à jour et de la vigilance en matière de cybersécurité », a souligné Boris Larin, analyste principal de la sécurité chez Kaspersky GREAT.
Vulnérabilité Zero Day dans Windows
Depuis son identification en 2007, Kaspersky a surveillé près de QakBot, un troyano bancario avancé. Initialement conçu pour voler des informations d'identification bancaires, QakBot a évolué pour inclure des capacités comme le robot de messagerie électronique, l'enregistrement des touches (keylogging), ainsi que la propagation et l'installation de ransomware. Ce malware est connu pour ses constantes mises à jour et améliorations, qui le convertissent en une menace persistante dans le cadre de la sécurité informatique. Récemment, il a été détecté que QakBot distribuait d'autres botnets, comme Emotet.
Kaspersky a mis à jour divers produits pour détecter et atténuer l'exploitation de CVE-2024-30051 et les logiciels malveillants associés, notamment :
- PDM :Exploit.Win32.Generic
- PDM : Trojan.Win32.Generic
- UDS : DangerousObject.Multi.Generic
- Cheval de Troie.Win32.Agent.gen
- Cheval de Troie.Win32.CobaltStrike.gen