Στα πλαίσια του Microsoft Patch Tuesday, η Microsoft διόρθωσε μια ευπάθεια zero-day που αξιοποιήθηκε σε επιθέσεις για τη διανομή του QakBot (Qbot) και άλλων malware σε συστήματα Windows.
Η ευπάθεια παρακολουθείται ως CVE-2024-30051 και επιτρέπει την απόκτηση περισσότερων προνομίων σε ευάλωτα συστήματα. Προκαλείται από ένα ζήτημα heap-based buffer overflow στο DWM (Desktop Window Manager) core library. Μετά την επιτυχή εκμετάλλευση, οι εισβολείς μπορούν να αποκτήσουν προνόμια SYSTEM.
Το Desktop Window Manager είναι μια υπηρεσία των Windows που εισήχθη στα Windows Vista και επιτρέπει στο λειτουργικό σύστημα να χρησιμοποιεί hardware acceleration κατά το rendering κάποιων graphical user interface elements, όπως glass window frames και 3D transition animations.
Δείτε επίσης: Παραλλαγή του Qbot χρησιμοποιεί ψεύτικα Adobe installer popup
Οι ερευνητές της Kaspersky ανακάλυψαν την ευπάθεια, που χρησιμοποιήθηκε για τη διανομή του QakBot, κατά τη διερεύνηση ενός άλλου σφάλματος (CVE-2023-36033). Έπεσαν πάνω σε ένα ενδιαφέρον αρχείο που ανέβηκε στο VirusTotal την 1η Απριλίου 2024. Τα ονόματα του αρχείου υποδήλωναν ότι περιείχε λεπτομέρειες για μια ευπάθεια των Windows. Το αρχείο παρείχε πληροφορίες (σε σπασμένα αγγλικά) σχετικά με μια ευπάθεια στο Desktop Window Manager (DWM) που θα μπορούσε να αξιοποιηθεί για την απόκτηση προνομίων SYSTEM. Η περιγραφή της εκμετάλλευσης ταίριαζε με αυτήν που χρησιμοποιείται στις επιθέσεις μέσω CVE-2023-36033, παρόλο που περιέγραφε μια ξεχωριστή ευπάθεια.
Η Kaspersky επιβεβαίωσε την ύπαρξη μιας νέας ευπάθειας κλιμάκωσης προνομίων και η Microsoft εκχώρησε το CVE-2024-30051 CVE ID και επιδιόρθωσε την ευπάθεια στο Patch Tuesday αυτού του μήνα.
“Αφού στείλαμε τα ευρήματά μας στη Microsoft, αρχίσαμε να παρακολουθούμε στενά τα στατιστικά μας για αναζήτηση εκμεταλλεύσεων και επιθέσεων που εκμεταλλεύονται αυτήν την ευπάθεια zero-day. Στα μέσα Απριλίου ανακαλύψαμε ένα exploit για αυτήν την ευπάθεια zero-day“, είπε η Kaspersky.
“Την είδαμε να χρησιμοποιείται μαζί με το QakBot και άλλα malware και πιστεύουμε ότι πολλοί παράγοντες απειλών έχουν πρόσβαση σε αυτή“.
Ερευνητές ασφαλείας του Google Threat Analysis Group, της DBAPPSecurity WeBin Lab και της Google Mandiant ανέφεραν, επίσης, την ευπάθεια στη Microsoft, επισημαίνοντας πιθανή ευρεία εκμετάλλευση.
Δείτε επίσης: Το Qbot malware κάνει hijack το Windows WordPad για να αποφύγει τον εντοπισμό
QakBot malware
Το QakBot ή Qbot ξεκίνησε ως banking trojan το 2008 για την κλοπή τραπεζικών διαπιστευτηρίων, cookies και πιστωτικών καρτών. Με την πάροδο του χρόνου, το εξελίχθηκε σε υπηρεσία παράδοσης κακόβουλου λογισμικού και οι χειριστές του συνεργάστηκαν με διάφορες άλλες εγκληματικές ομάδες για αρχική πρόσβαση σε εταιρικά και οικιακά δίκτυα (για επιθέσεις ransomware, κατασκοπεία ή κλοπή δεδομένων).
Ενώ η υποδομή του διαλύθηκε τον Αύγουστο του 2023 μετά από μια επιχείρηση των αρχών επιβολής του νόμου, το κακόβουλο λογισμικό επανεμφανίστηκε σε εκστρατείες phishing τον Δεκέμβριο.
Οι αρχές επιβολής του νόμου έχουν συνδέσει το QakBot με τουλάχιστον 40 επιθέσεις ransomware που στοχεύουν εταιρείες, παρόχους υγειονομικής περίθαλψης και κυβερνητικές υπηρεσίες σε όλο τον κόσμο.
Κατά τη διάρκεια των ετών, το Qakbot χρησίμευσε ως αρχικός φορέας μόλυνσης για διάφορες συμμορίες ransomware, συμπεριλαμβανομένων των Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex και Black Basta.
Προστασία από ευπάθειες
Η ενημέρωση και η εκπαίδευση του προσωπικού είναι ζωτικής σημασίας. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την κυβερνοασφάλεια και τις καλές πρακτικές για την αποφυγή των επιθέσεων.
Δείτε επίσης: QBot: Διανέμεται πλέον με email μέσω PDF και WSF συνημμένα
Η χρήση προηγμένων λύσεων ασφαλείας, όπως τα συστήματα προστασίας από εισβολές (IPS), τα συστήματα ανίχνευσης εισβολών (IDS) και το λογισμικό antivirus, μπορεί να βοηθήσει στην αντιμετώπιση των επιθέσεων και την προστασία από σφάλματα.
Η εφαρμογή των ενημερώσεων είναι ένας από τους πιο αποτελεσματικούς τρόπους για την προστασία από τα κενά ασφαλείας. Οι επιτιθέμενοι συχνά εκμεταλλεύονται ευπάθειες (όπως συνέβη και με το QakBot) οπότε η διατήρηση του λογισμικού ενημερωμένου είναι ζωτικής σημασίας.
Η χρήση πολυπαραγοντικής επαλήθευσης (MFA) μπορεί να προσφέρει μια επιπλέον στρώση προστασίας, καθώς απαιτεί από τους χρήστες να παρέχουν δύο ή περισσότερα στοιχεία επαλήθευσης για να αποδείξουν την ταυτότητά τους.
Τέλος, η δημιουργία και η εφαρμογή μιας πολιτικής ασφαλείας πληροφοριών μπορεί να αποτρέψει την εκμετάλλευση ευπαθειών. Αυτή η πολιτική πρέπει να περιλαμβάνει την προστασία των δεδομένων, την προστασία των συστημάτων και των δικτύων, καθώς και την αντίδραση σε περιπτώσεις παραβίασης της ασφάλειας.
Πηγή: www.bleepingcomputer.com
 και άλλων malware){kind=link}