Zum Hauptinhalt springen

Neue Windows-Zero-Day-Schwachstelle ausgenutzt: Kaspersky entdeckt QakBot-Angriffe

15. Mai 2024

Patch am 14. Mai 2024 im Rahmen des ,May Patch Tuesday‘ von Microsoft veröffentlicht

Die Kaspersky-Forscher Boris Larin und Mert Degirmenci haben eine neue Zero-Day-Schwachstelle in Windows mit der Bezeichnung CVE-2024-30051 [1 + 2] gefunden. Diese Entdeckung wurde im Zuge der Untersuchung der ,Windows DWM Core Library Elevation of Privilege‘-Schwachstelle (CVE-2023-36033 [3]) Anfang April 2024 gemacht. Ein Patch wurde am 14. Mai 2024 im Rahmen des ,May Patch Tuesday‘ von Microsoft veröffentlicht.

Am 1. April 2024 erregte ein auf VirusTotal hochgeladenes Dokument die Aufmerksamkeit der Kaspersky-Forscher. Das Dokument mit einem aussagekräftigen Dateinamen wies auf eine potenzielle Sicherheitslücke im Windows-Betriebssystem hin. Trotz des gebrochenen Englisch und der fehlenden Details wie die Schwachstelle ausgelöst werden kann, beschrieb das Dokument einen Exploit-Prozess, der mit dem Zero-Day-Exploit für CVE-2023-36033 glich, obwohl sich die Schwachstellen voneinander unterschieden. Das Team vermutete, die Sicherheitslücke sei entweder erfunden oder nicht ausnutzbar; trotzdem setzte es seine Untersuchung fort. Eine schnelle Überprüfung ergab jedoch, dass es sich tatsächlich um eine Zero-Day-Schwachstelle handelt, die zu einer Ausweitung der Systemprivilegien führen kann.

Kaspersky meldete seine Erkenntnisse umgehend an Microsoft. Anschließend wurde die Schwachstelle verifiziert und als CVE-2024-30051 bezeichnet.

Nach der Meldung begannen die Experten von Kaspersky die Exploits und Angriffe, die diese Zero-Day-Schwachstelle nutzen, näher unter die Lupe zu nehmen. Mitte April entdeckte das Team einen Exploit für CVE-2024-30051 und beobachtete seine Verwendung in Verbindung mit QakBot sowie anderer Malware. Dies deutet darauf hin, dass mehrere Bedrohungsakteure Zugriff auf diesen Exploit haben.

„Wir fanden das Dokument auf VirusTotal aufgrund seines aussagekräftigen Charakters sehr interessant und haben es deshalb näher untersucht. So konnten wir diese kritische Zero-Day-Schwachstelle entdecken“, sagt Boris Larin, Principal Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. „Die Geschwindigkeit, mit der Bedrohungsakteure diesen Exploit in ihr Arsenal integrieren, unterstreicht wie wichtig es ist, rechtzeitig Updates vorzunehmen und insgesamt immer wachsam zu bleiben, was die Cybersicherheit betrifft.“

Kaspersky plant, technische Details zu CVE-2024-30051 zu veröffentlichen, sobald genügend Zeit vergangen ist, damit die meisten Nutzer ihre Windows-Systeme aktualisieren konnten. Kaspersky bedankt sich bei Microsoft für die prompte Analyse und Veröffentlichung von Patches.

Die Kaspersky-Produkte wurden aktualisiert, um die Ausnutzung von CVE-2024-30051 und damit verbundener Malware mit den folgenden Ergebnissen zu erkennen:

  • PDM:Exploit.Win32.Generic
  • PDM:Trojan.Win32.Generic
  • UDS:DangerousObject.Multi.Generic
  • Trojan.Win32.Agent.gen
  • Trojan.Win32.CobaltStrike.gen

Banking-Trojaner QakBot – ein alter Bekannter

Kaspersky verfolgt den fortschrittlichen Banking-Trojaner QakBot seit seiner Entdeckung im Jahr 2007. Ursprünglich für den Diebstahl von Bankdaten konzipiert, hat sich QakBot erheblich weiterentwickelt und neue Funktionen erworben, wie E-Mail-Diebstahl, Keylogging und die Fähigkeit, sich selbst zu verbreiten sowie Ransomware zu installieren. Die Malware ist für ihre häufigen Updates und Verbesserungen bekannt; dies macht sie zu einer ständigen Bedrohung in der Cybersicherheitslandschaft. In den vergangenen Jahren wurde beobachtet, dass QakBot andere Botnets, wie beispielsweise Emotet, für die Verbreitung nutzt.

 

Weitere Informationen zur Zero-Day-Schwachstelle CVE-2024-30051 auf Securelist unter https://securelist.com/cve-2024-30051/112618/.

 

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-30551  

[2] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-30051

[3] https://nvd.nist.gov/vuln/detail/CVE-2023-36033


Nützliche Links:

Neue Windows-Zero-Day-Schwachstelle ausgenutzt: Kaspersky entdeckt QakBot-Angriffe

Patch am 14. Mai 2024 im Rahmen des ,May Patch Tuesday‘ von Microsoft veröffentlicht
Kaspersky logo

Über Kaspersky

Kaspersky ist ein internationales Unternehmen für Cybersicherheit und digitale Privatsphäre, das im Jahr 1997 gegründet wurde. Der Cybersicherheitsanbieter schützt über eine Milliarde Geräte vor Cyberbedrohungen und zielgerichteten Angriffen. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services sowie Cyber-Immune-Lösungen zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 200.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter kaspersky.de.

Verwandter Artikel Pressemitteilungen