Microsoft a corrigé une vulnérabilité zero-day exploitée dans des attaques pour fournir QakBot et d’autres charges utiles de logiciels malveillants sur des systèmes Windows vulnérables.
Suivi comme CVE-2024-30051, ce bogue d’élévation de privilèges est causé par un débordement de tampon basé sur le tas dans la bibliothèque principale DWM (Gestionnaire de fenêtres de bureau). Après une exploitation réussie, les attaquants peuvent obtenir des privilèges SYSTÈME.
Gestionnaire de fenêtres de bureau est un service Windows introduit dans Windows Vista qui permet au système d’exploitation d’utiliser l’accélération matérielle lors du rendu d’éléments d’interface utilisateur graphique tels que des cadres de fenêtres en verre et des animations de transition 3D.
Les chercheurs en sécurité de Kaspersky ont découvert la vulnérabilité alors qu’ils enquêtaient sur un autre bogue d’escalade de privilèges de la bibliothèque principale DWM de Windows identifié sous le nom de CVE-2023-36033 et également exploité comme un jour zéro dans les attaques.
En passant au peigne fin les données liées aux exploits récents et aux attaques associées, ils sont tombés sur un fichier intrigant téléchargé sur VirusTotal le 1er avril 2024. Les noms du fichier laissaient entendre qu’il contenait des détails sur une vulnérabilité Windows.
Comme ils l’ont découvert, le fichier fournissait des informations (en anglais cassé) concernant une vulnérabilité du Gestionnaire de fenêtres du bureau Windows (DWM) qui pouvait être exploitée pour augmenter les privilèges du SYSTÈME, le traitement d’exploitation décrit reflétant parfaitement celui utilisé dans les attaques CVE-2023-36033, même s’il décrivait une vulnérabilité distincte.
Malgré la qualité médiocre du document et certaines omissions sur la manière dont la vulnérabilité pourrait être exploitée, Kaspersky a confirmé l’existence d’une nouvelle vulnérabilité d’escalade de privilèges zero-day dans la bibliothèque principale DWM de Windows. Microsoft a attribué l’ID CVE-2024-30051 CVE et corrigé la vulnérabilité lors du Patch Tuesday de ce mois-ci.
« Après avoir envoyé nos résultats à Microsoft, nous avons commencé à surveiller de près nos statistiques à la recherche d’exploits et d’attaques qui exploitent cette vulnérabilité zero-day, et à la mi-avril, nous avons découvert un exploit pour cette vulnérabilité zero-day », a déclaré Kaspersky.
« Nous l’avons vu utilisé avec QakBot et d’autres logiciels malveillants, et nous pensons que plusieurs acteurs de la menace y ont accès. »
Les chercheurs en sécurité de Google Threat Analysis Group, DBAPPSecurity Webin Lab et Google Mandiant ont également signalé le jour zéro à Microsoft, indiquant une exploitation probablement généralisée dans les attaques de logiciels malveillants.
QakBot (également connu sous le nom de Qbot) a commencé comme un cheval de Troie bancaire en 2008 et a été utilisé pour voler des informations d’identification bancaires, des cookies de sites Web et des cartes de crédit afin de commettre une fraude financière. Au fil du temps, QakBot est devenu un service de diffusion de logiciels malveillants, s’associant à d’autres groupes de menaces pour fournir un accès initial aux réseaux d’entreprise et domestiques pour les attaques de ransomware, l’espionnage ou le vol de données.
Alors que son infrastructure a été démantelée en août 2023 à la suite d’une opération multinationale d’application de la loi dirigée par le FBI et connue sous le nom d’opération « Chasse au canard », le logiciel malveillant a refait surface lors de campagnes de phishing ciblant l’industrie hôtelière en décembre.
Les forces de l’ordre ont lié QakBot à au moins 40 attaques de ransomware ciblant des entreprises, des prestataires de soins de santé et des agences gouvernementales dans le monde entier, qui, selon des estimations prudentes, ont causé des centaines de millions de dollars de dommages.
Au fil des ans, Qakbot a servi de vecteur d’infection initial pour divers gangs de ransomwares et leurs affiliés, notamment Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex et, plus récemment, Black Basta.