Identificada falha crítica no Windows
22 de Maio de 2024

No início de abril de 2024, os pesquisadores Boris Larin e Mert Degirmenci, da empresa de cibersegurança Kaspersky, identificaram uma vulnerabilidade no sistema operacional Windows até então desconhecida, registrada sob o código CVE-2024-30051 .

Esta descoberta aconteceu durante a análise de uma vulnerabilidade anterior, específica da biblioteca DWM do Windows, conhecida como CVE-2023-36033 , que já havia sido notificada por elevar o nível de privilégios no sistema.

A correção para o problema foi disponibilizada pela Microsoft em 14 de maio, fazendo parte do seu conjunto de atualizações regulares.

A investigação dessa nova falha começou em 1º de abril de 2024, após um documento, enviado para a plataforma de análise de vírus VirusTotal, atrair a atenção da equipe da Kaspersky por sugerir uma nova vulnerabilidade no Windows.

Mesmo com algumas imprecisões no inglês e falta de detalhes sobre como a vulnerabilidade poderia ser explorada, o arquivo descrevia um método de exploração similar a outra falha crítica descoberta no ano anterior.

Inicialmente céticos quanto à veracidade da ameaça, os pesquisadores logo concluíram que se tratava de uma vulnerabilidade até então desconhecida (zero-day) e real, capaz de aumentar os privilégios dos atacantes no sistema afetado.

A descoberta foi imediatamente comunicada à Microsoft, que após análises, confirmou a existência da falha e lhe atribuiu o código CVE-2024-30051 .

Após a descoberta, a Kaspersky começou a monitorar ativamente o uso dessa nova vulnerabilidade em ataques e explorações.

Já em meados de abril, foi observado que cibercriminosos estavam explorando a falha em operações combinadas com o trojan bancário QakBot, entre outras ameaças, sinalizando que diversos grupos de criminosos digitais já tinham acesso e estavam se aproveitando da vulnerabilidade.

Boris Larin, um dos líderes da pesquisa na Kaspersky, enfatizou a importância da descoberta: “O documento no VirusTotal era peculiar o suficiente para despertar nosso interesse e levar-nos a uma investigação aprofundada, culminando na identificação de uma vulnerabilidade crítica de zero-day.
A rapidez com que os cibercriminosos incorporaram essa exploração em seus métodos reforça a necessidade de manter sistemas atualizados e uma vigilância constante na segurança digital.”

A Kaspersky prometeu divulgar mais detalhes técnicos sobre a CVE-2024-30051 assim que uma parcela maior dos usuários proceder com a atualização do Windows, também agradecendo à Microsoft pela rápida resposta e correção da vulnerabilidade.

Além disso, os produtos da Kaspersky já foram atualizados para detectar e bloquear tentativas de exploração dessa vulnerabilidade, categorizando as ameaças pelos seguintes veredictos:

- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generic
- UDS:DangerousObject.Multi.Generic
- Trojan.Win32.Agent.gen
- Trojan.Win32.CobaltStrike.gen

Sobre o QakBot, o malware tem sido monitorado pela Kaspersky desde sua descoberta em 2007.

Inicialmente projetado para o roubo de credenciais bancárias, evoluiu, adicionando funcionalidades como roubo de informações de e-mail e keylogging, além de capacidades para se disseminar e instalar ransomware.

Devido às constantes atualizações e melhorias, o QakBot permanece como uma ameaça relevante e em evolução no cenário de cibersegurança, frequentemente utilizando outras botnets, como o Emotet, para expandir sua distribuição.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...