No início de abril de 2024, pesquisadores da Kaspersky decidiram investigar mais a fundo a vulnerabilidade de elevação de privilégio na biblioteca principal DWM do Windows, conhecida como CVE-2023-36033, descoberta como uma exploração de zero-day.
Durante a pesquisa de amostras relacionadas a esse exploit e aos ataques que o utilizaram, encontraram um documento carregado no VirusTotal em 1º de abril de 2024. Esse documento chamou a atenção dos pesquisadores por ter um nome de arquivo bastante descritivo, indicando que continha informações sobre uma vulnerabilidade no sistema operacional Windows.
Dentro do arquivo, havia uma breve descrição de uma vulnerabilidade no Windows Desktop Window Manager (DWM) e como ela poderia ser explorada para obter privilégios de sistema, tudo escrito em um inglês rudimentar. O processo de exploração descrito no documento era idêntico ao usado na exploração zero-day mencionada anteriormente para CVE-2023-36033, mas tratava-se de uma vulnerabilidade diferente.
Ao avaliar a qualidade da redação e a ausência de alguns detalhes importantes sobre como realmente ativar a vulnerabilidade, parecia provável que a vulnerabilidade descrita fosse inventada ou estivesse presente em um código inacessível ou fora do controle dos hackers.
Após uma verificação rápida, ficou evidente que se tratava de uma vulnerabilidade real de zero-day que podia ser utilizada para aumentar privilégios. Os pesquisadores relataram imediatamente suas descobertas à Microsoft, que designou a vulnerabilidade como CVE-2024-30051 e lançou um patch em 14 de maio de 2024, como parte do Patch Tuesday.
Depois de informar a Microsoft, os pesquisadores começaram a monitorar de perto as estatísticas em busca de explorações e ataques que utilizassem essa vulnerabilidade de zero-day. Em meados de abril, descobriram uma exploração para essa vulnerabilidade. Os pesquisadores relataram ter visto a vulnerabilidade sendo usada juntamente com o QakBot e outros malwares, e acreditam que hackers possam ter acesso a essa vulnerabilidade.
Os detalhes técnicos sobre CVE-2024-30051 serão publicados assim que os usuários tiverem tempo de atualizar seus sistemas Windows.
As soluções da Kaspersky detectaram a exploração do CVE-2024-30051 e malware relacionado com os seguintes veredictos:
PDM:Exploit.Win32.Generic;
PDM:Trojan.Win32.Generic;
UDS:DangerousObject.Multi.Generic;
Trojan.Win32.Agent.gen;
Trojan.Win32.CobaltStrike.gen.
Via - SecureList
Comments