HomesecurityMicrosoft: Διόρθωσε zero-day που χρησιμοποιούνταν για διανομή του QakBot (Qbot)

Microsoft: Διόρθωσε zero-day που χρησιμοποιούνταν για διανομή του QakBot (Qbot)

Στα πλαίσια του Microsoft Patch Tuesday, Microsoft διόρθωσε μια ευπάθεια zero-day που αξιοποιήθηκε σε επιθέσεις για τη διανομή του QakBot (Qbot) και άλλων malware σε συστήματα Windows.

QakBot Qbot Microsoft zero-day

The vulnerability shall be monitored as CVE-2024-30051 και επιτρέπει την απόκτηση περισσότερων προνομίων σε ευάλωτα συστήματα. Προκαλείται από ένα ζήτημα heap-based buffer overflow στο DWM (Desktop Window Manager) core library. Μετά την επιτυχή εκμετάλλευση, οι εισβολείς μπορούν να αποκτήσουν προνόμια SYSTEM.

Το Desktop Window Manager είναι μια υπηρεσία των Windows που εισήχθη στα Windows Vista και επιτρέπει στο λειτουργικό system να χρησιμοποιεί hardware acceleration κατά το rendering κάποιων graphical user interface elements, όπως glass window frames και 3D transition animations.

See also: Variant of Qbot uses fake Adobe installer popup

The researchers of Kaspersky ανακάλυψαν την ευπάθεια, που χρησιμοποιήθηκε για τη διανομή του QakBot, κατά τη διερεύνηση ενός άλλου σφάλματος (CVE-2023-36033). Έπεσαν πάνω σε ένα ενδιαφέρον αρχείο που ανέβηκε στο VirusTotal την 1η Απριλίου 2024. Τα ονόματα του αρχείου υποδήλωναν ότι περιείχε λεπτομέρειες για μια ευπάθεια των Windows. Το αρχείο παρείχε πληροφορίες (σε σπασμένα αγγλικά) σχετικά με μια ευπάθεια στο Desktop Window Manager (DWM) που θα μπορούσε να αξιοποιηθεί για την απόκτηση προνομίων SYSTEM. Η περιγραφή της εκμετάλλευσης ταίριαζε με αυτήν που χρησιμοποιείται στις attacks μέσω CVE-2023-36033, παρόλο που περιέγραφε μια ξεχωριστή ευπάθεια.

Η Kaspersky επιβεβαίωσε την ύπαρξη μιας νέας ευπάθειας κλιμάκωσης προνομίων και η Microsoft εκχώρησε το CVE-2024-30051 CVE ID και επιδιόρθωσε την ευπάθεια στο Patch Tuesday αυτού του μήνα.

Αφού στείλαμε τα ευρήματά μας στη Microsoft, αρχίσαμε να παρακολουθούμε στενά τα στατιστικά μας για αναζήτηση εκμεταλλεύσεων και attacks που εκμεταλλεύονται αυτήν την ευπάθεια zero-day. Στα μέσα Απριλίου ανακαλύψαμε ένα exploit για αυτήν την ευπάθεια zero-day", Kaspersky said.

Την είδαμε να χρησιμοποιείται μαζί με το QakBot και άλλα malware και πιστεύουμε ότι πολλοί παράγοντες απειλών έχουν πρόσβαση σε αυτή“.

Ερευνητές ασφαλείας του Google Threat Analysis Group, της DBAPPSecurity WeBin Lab και της Google Mandiant ανέφεραν, επίσης, την ευπάθεια στη Microsoft, επισημαίνοντας πιθανή ευρεία εκμετάλλευση.

See also: Το Qbot malware κάνει hijack το Windows WordPad για να αποφύγει τον εντοπισμό

QakBot malware

Το QakBot ή Qbot ξεκίνησε ως banking trojan το 2008 για την κλοπή τραπεζικών διαπιστευτηρίων, cookies και πιστωτικών καρτών. Με την πάροδο του χρόνου, το εξελίχθηκε σε malware delivery service και οι χειριστές του συνεργάστηκαν με διάφορες άλλες εγκληματικές ομάδες για αρχική πρόσβαση σε εταιρικά και οικιακά δίκτυα (για επιθέσεις ransomware, κατασκοπεία ή κλοπή δεδομένων).

Ενώ η υποδομή του διαλύθηκε τον Αύγουστο του 2023 μετά από μια επιχείρηση των αρχών επιβολής του νόμου, το κακόβουλο λογισμικό επανεμφανίστηκε σε εκστρατείες phishing τον Δεκέμβριο.

Οι αρχές επιβολής του νόμου έχουν συνδέσει το QakBot με τουλάχιστον 40 επιθέσεις ransomware που στοχεύουν εταιρείες, παρόχους υγειονομικής περίθαλψης και κυβερνητικές υπηρεσίες around the world.

Κατά τη διάρκεια των ετών, το Qakbot χρησίμευσε ως αρχικός φορέας μόλυνσης για διάφορες συμμορίες ransomware, συμπεριλαμβανομένων των Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex και Black Basta.

Protection from vulnerabilities

The information and staff training is vital. Workers need to be aware of the risks associated with cybersecurity and good practices to avoid attacks.

See also: QBot: Διανέμεται πλέον με email μέσω PDF και WSF συνημμένα

The use of advanced security solutions, such as intrusion protection systems (IPS), intrusion detection systems (IDS) and antivirus software, can help counter attacks and protect against bugs.

Η implementation of updates είναι ένας από τους πιο αποτελεσματικούς τρόπους για την προστασία από τα κενά ασφαλείας. Οι επιτιθέμενοι συχνά εκμεταλλεύονται vulnerabilities (όπως συνέβη και με το QakBot) οπότε η διατήρηση του λογισμικού ενημερωμένου είναι ζωτικής σημασίας.

The use of multifactor verification (MFA) μπορεί να προσφέρει μια επιπλέον στρώση προστασίας, καθώς απαιτεί από τους χρήστες να παρέχουν δύο ή περισσότερα στοιχεία επαλήθευσης για να αποδείξουν την ταυτότητά τους.

Finally, the the creation and implementation of a policy Security information can prevent the exploitation of vulnerabilities. This policy should include data protection, protection of systems and networks, and response to security breaches.

Source : www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://secnews.gr
Pursue Your Dreams & Live!
spot_img

Subscribe to the Newsletter

* indicates required

FOLLOW US

LIVE NEWS