Microsoft ha solucionado una vulnerabilidad zero-day que se utilizaba para distribuir QakBot y otros tipos de malware en sistemas Windows vulnerables.
La vulnerabilidad, identificada como CVE-2024-30051, permitía la escalada de privilegios y era causada por un desbordamiento de búfer. Se la realiza en la biblioteca principal del Administrador de Ventanas del Escritorio (DWM). Una vez explotada, los atacantes podían obtener privilegios de SISTEMA.
El Administrador de Ventanas del Escritorio (DWM) es un servicio de Windows introducido en Windows Vista, que permite al sistema operativo utilizar aceleración de hardware para renderizar elementos de la interfaz gráfica de usuario, como marcos de ventanas de vidrio y animaciones 3D.
Los investigadores de seguridad de Kaspersky descubrieron la vulnerabilidad zero-day
Mientras investigaban otro error de escalada de privilegios en la biblioteca principal del DWM de windows, conocido como CVE-2023-36033, que también fue aprovechado como zero-day en ataques.
Durante su análisis de datos relacionados con exploits y ataques, encontraron un archivo sospechoso que se subió a VirusTotal el 1 de abril de 2024. Los nombres de archivo sugerían que contenía detalles sobre una vulnerabilidad de Windows.
Aunque había algunas omisiones sobre la explotación de la vulnerabilidad, Kaspersky confirmó su existencia. Microsoft asignó el identificador CVE-2024-30051 y lanzó un parche durante el Patch Tuesday de este mes.
El equipo de investigadores de seguridad de Google Threat Analysis Group, DBAPPSecurity WeBin Lab y Google Mandiant también informaron a Microsoft sobre este zero-day, lo que sugiere una posible explotación generalizada en ataques de malware.
QakBot, también conocido como Qbot, comenzó en 2008 como un troyano bancario utilizado para robar credenciales bancarias, cookies de sitios web y tarjetas de crédito con el fin de cometer fraudes financieros.
Aunque su infraestructura fue desmantelada en agosto de 2023 gracias a una operación policial multinacional liderada por el FBI conocida como Operación «Duck Hunt». El malware resurgió en diciembre en campañas de phishing dirigidas a la industria hotelera.
Fuente: