Los analistas de Kaspersky, Boris Larin y Mert Degirmenci, han identificado una nueva vulnerabilidad zero-day en Windows, denominada CVE-2024-30051. Este descubrimiento se ha producido mientras investigaban Windows DWM Core Library Elevation of Privilege vulnerability (CVE-2023-36033) a principios de abril de 2024. Se publicó un parche el 14 de mayo de 2024 como parte del Patch Tuesday de mayo de Microsoft.
El 1 de abril de 2024, un documento subido a VirusTotal llamó la atención de los analistas de Kaspersky. El documento, con un nombre de archivo descriptivo, insinuaba una posible vulnerabilidad en el sistema operativo Windows. A pesar del incorrecto uso del inglés y de detalles sobre cómo activar la vulnerabilidad, el documento describía un proceso de explotación idéntico al exploit zero-day para CVE-2023-36033, aunque las vulnerabilidades eran diferentes.
A pesar de que sospechaban que la vulnerabilidad podría ser ficticia o inexplotable, el equipo continuó con su investigación y una rápida verificación reveló que se trataba de una vulnerabilidad zero-day capaz de escalar los privilegios del sistema. El equipo de Kaspersky informó de inmediato a Microsoft sobre sus hallazgos, quien verificó la vulnerabilidad y le asignó el nombre de CVE-2024-30051.
Tras el informe, la compañía de ciberseguridad comenzó a monitorizar los ataques utilizando la vulnerabilidad zero-day y, a mediados de abril, el equipo detectó un exploit para CVE-2024-30051, observando su uso junto con QakBot y otros malware, lo que indica que múltiples actores de amenazas tienen acceso a este exploit. “Encontramos el documento en VirusTotal sospechoso debido a su naturaleza descriptiva y decidimos investigar más a fondo, lo que nos llevó a descubrir esta crítica vulnerabilidad zero-day. La rapidez con la que los actores de amenazas están integrando este exploit en su arsenal subraya la importancia de las actualizaciones y la vigilancia en ciberseguridad”, apunta Boris Larin, analista principal de seguridad en Kaspersky GReAT.
Kaspersky ha estado rastreando QakBot, un sofisticado troyano bancario, desde su descubrimiento en 2007. Originalmente diseñado para robar credenciales bancarias, QakBot ha evolucionado significativamente, adquiriendo nuevas funcionalidades como el robo de correo electrónico, keylogging y la capacidad de propagarse e instalar ransomware. El malware es conocido por sus frecuentes actualizaciones y mejoras, lo que lo convierte en una amenaza persistente en el panorama de la ciberseguridad. En los últimos años, se ha observado que QakBot utiliza otros botnets, como Emotet, para su distribución.
Los productos de Kaspersky que se han actualizado para detectar la explotación de CVE-2024-30051 y el malware son:
- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generi
- UDS:DangerousObject.Multi.Generic
- Trojan.Win32.Agent.gen
- Trojan.Win32.CobaltStrike.gen
En este sentido, una vez haya pasado suficiente tiempo para que la mayoría de los usuarios actualicen sus sistemas Windows, Kaspersky planea publicar detalles técnicos sobre CVE-2024-30051. Además, la compañía quiere agradecer a Microsoft su rápido análisis y creación de los parches.
