No início de abril de 2024, os pesquisadores Boris Larin e Mert Degirmenci, da empresa de cibersegurança Kaspersky, identificaram uma vulnerabilidade no sistema operacional Windows até então desconhecida, registrada sob o código
CVE-2024-30051
.
Esta descoberta aconteceu durante a análise de uma vulnerabilidade anterior, específica da biblioteca DWM do Windows, conhecida como
CVE-2023-36033
, que já havia sido notificada por elevar o nível de privilégios no sistema.
A correção para o problema foi disponibilizada pela Microsoft em 14 de maio, fazendo parte do seu conjunto de atualizações regulares.
A investigação dessa nova falha começou em 1º de abril de 2024, após um documento, enviado para a plataforma de análise de vírus VirusTotal, atrair a atenção da equipe da Kaspersky por sugerir uma nova vulnerabilidade no Windows.
Mesmo com algumas imprecisões no inglês e falta de detalhes sobre como a vulnerabilidade poderia ser explorada, o arquivo descrevia um método de exploração similar a outra falha crítica descoberta no ano anterior.
Inicialmente céticos quanto à veracidade da ameaça, os pesquisadores logo concluíram que se tratava de uma vulnerabilidade até então desconhecida (zero-day) e real, capaz de aumentar os privilégios dos atacantes no sistema afetado.
A descoberta foi imediatamente comunicada à Microsoft, que após análises, confirmou a existência da falha e lhe atribuiu o código
CVE-2024-30051
.
Após a descoberta, a Kaspersky começou a monitorar ativamente o uso dessa nova vulnerabilidade em ataques e explorações.
Já em meados de abril, foi observado que cibercriminosos estavam explorando a falha em operações combinadas com o trojan bancário QakBot, entre outras ameaças, sinalizando que diversos grupos de criminosos digitais já tinham acesso e estavam se aproveitando da vulnerabilidade.
Boris Larin, um dos líderes da pesquisa na Kaspersky, enfatizou a importância da descoberta: “O documento no VirusTotal era peculiar o suficiente para despertar nosso interesse e levar-nos a uma investigação aprofundada, culminando na identificação de uma vulnerabilidade crítica de zero-day.
A rapidez com que os cibercriminosos incorporaram essa exploração em seus métodos reforça a necessidade de manter sistemas atualizados e uma vigilância constante na segurança digital.”
A Kaspersky prometeu divulgar mais detalhes técnicos sobre a
CVE-2024-30051
assim que uma parcela maior dos usuários proceder com a atualização do Windows, também agradecendo à Microsoft pela rápida resposta e correção da vulnerabilidade.
Além disso, os produtos da Kaspersky já foram atualizados para detectar e bloquear tentativas de exploração dessa vulnerabilidade, categorizando as ameaças pelos seguintes veredictos:
- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generic
- UDS:DangerousObject.Multi.Generic
- Trojan.Win32.Agent.gen
- Trojan.Win32.CobaltStrike.gen
Sobre o QakBot, o malware tem sido monitorado pela Kaspersky desde sua descoberta em 2007.
Inicialmente projetado para o roubo de credenciais bancárias, evoluiu, adicionando funcionalidades como roubo de informações de e-mail e keylogging, além de capacidades para se disseminar e instalar ransomware.
Devido às constantes atualizações e melhorias, o QakBot permanece como uma ameaça relevante e em evolução no cenário de cibersegurança, frequentemente utilizando outras botnets, como o Emotet, para expandir sua distribuição.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...