Aktuelles, Branche - geschrieben von dp am Samstag, Mai 18, 2024 16:20 - noch keine Kommentare
QakBot: Neue Windows-Zero-Day-Schwachstelle ausgenutzt
Entdeckung wurde im Zuge der Untersuchung der Windows DWM Core Library Elevation of Privilege-Schwachstelle Anfang April 2024 gemacht
[datensicherheit.de, 18.05.2024] Die Kaspersky-Forscher Boris Larin und Mert Degirmenci haben nach eigenen Angaben eine neue Zero-Day-Schwachstelle in „Windows“ mit der Bezeichnung „CVE-2024-30051“ gefunden. Diese Entdeckung wurde demnach im Zuge der Untersuchung der „Windows DWM Core Library Elevation of Privilege“-Schwachstelle („CVE-2023-36033“) Anfang April 2024 gemacht. Ein Patch sei am 14. Mai 2024 im Rahmen des „May Patch Tuesday“ von Microsoft veröffentlicht worden.
Auf VirusTotal aufgetaucht: Hinweis auf potenzielle Windows-Sicherheitslücke
„Am 1. April 2024 erregte ein auf ,VirusTotal’ hochgeladenes Dokument die Aufmerksamkeit der Kaspersky-Forscher. Das Dokument mit einem aussagekräftigen Dateinamen wies auf eine potenzielle Sicherheitslücke im ,Windows’-Betriebssystem hin.“ Trotz gebrochenen Englischs und der fehlenden Details (wie die Schwachstelle ausgelöst werden kann), habe das Dokument einen Exploit-Prozess beschrieben, der jenem vom Zero-Day-Exploit für „CVE-2023-36033“ geglichen habe, obwohl sich diese Schwachstellen voneinander unterschieden.
Das Team habe vermutete, die Sicherheitslücke sei entweder erfunden oder nicht ausnutzbar; trotzdem habe es seine Untersuchung fortgesetzt. „Eine schnelle Überprüfung ergab jedoch, dass es sich tatsächlich um eine Zero-Day-Schwachstelle handelt, die zu einer Ausweitung der Systemprivilegien führen kann.“
Kaspersky habe seine Erkenntnisse umgehend an Microsoft gemeldet – anschließend sei die Schwachstelle verifiziert und als „CVE-2024-30051“ bezeichnet worden.
Global Research & Analysis Team untersuchte Zero-Day-Schwachstelle in Windows
Nach dieser Meldung hätten die Kaspersky-Experten begonnen, „die Exploits und Angriffe, die diese Zero-Day-Schwachstelle nutzen, näher unter die Lupe zu nehmen“. Mitte April 2024 habe das Team einen Exploit für „CVE-2024-30051“ entdeckt und seine Verwendung in Verbindung mit „QakBot“ sowie anderer Malware beobachtet. Dies deute darauf hin, dass mehrere Bedrohungsakteure Zugriff auf diesen Exploit hätten.
„Wir fanden das Dokument auf ,VirusTotal’ aufgrund seines aussagekräftigen Charakters sehr interessant und haben es deshalb näher untersucht. So konnten wir diese kritische Zero-Day-Schwachstelle entdecken“, berichtet Boris Larin, „Principal Security Researcher“ im „Global Research & Analysis Team“ (GReAT) bei Kaspersky.
Er kommentiert: „Die Geschwindigkeit, mit der Bedrohungsakteure diesen Exploit in ihr Arsenal integrieren, unterstreicht wie wichtig es ist, rechtzeitig Updates vorzunehmen und insgesamt immer wachsam zu bleiben, was die Cyber-Sicherheit betrifft.“
Nutzer sollten nun ihre Windows-Systeme aktualisieren
Kaspersky plane, technische Details zu „CVE-2024-30051“ zu veröffentlichen, „sobald genügend Zeit vergangen ist, damit die meisten Nutzer ihre ,Windows’-Systeme aktualisieren konnten“. Kaspersky habe sich bei Microsoft für die „prompte Analyse und Veröffentlichung von Patches“ bedankt.
Die Kaspersky-Produkte seien aktualisiert worden, um die Ausnutzung von „CVE-2024-30051“ und damit verbundener Malware mit den folgenden Ergebnissen zu erkennen:
- „PDM:Exploit.Win32.Generic“
- „PDM:Trojan.Win32.Generic“
- „UDS:DangerousObject.Multi.Generic“
- „Trojan.Win32.Agent.gen“
- „Trojan.Win32.CobaltStrike.gen“
Kaspersky verfolge den fortschrittlichen Banking-Trojaner „QakBot“ seit seiner Entdeckung im Jahr 2007. Ursprünglich für den Diebstahl von Bankdaten konzipiert, habe sich „QakBot“ erheblich weiterentwickelt und neue Funktionen erworben, wie E-Mail-Diebstahl, Keylogging und die Fähigkeit, sich selbst zu verbreiten sowie Ransomware zu installieren. Diese Malware sei für ihre häufigen Updates und Verbesserungen bekannt – dies mache sie zu einer ständigen Bedrohung in der Cyber-Sicherheitslandschaft. In den vergangenen Jahren sei beobachtet worden, dass „QakBot“ andere Botnets, wie beispielsweise „Emotet“, für die Verbreitung nutze.
Weitere Informationen zum Thema:
SECURELIST by Kaspersky, 14.05.2024
QakBot attacks with Windows zero-day (CVE-2024-30051)
NIST, 25.04.2024
National Vulnerability Database: CVE-2024-30551 Detail
NIST, 25.04.2024
National Vulnerability Database: CVE-2023-36033 Detail
MICROSOFT, 14.04.2024
Windows DWM Core Library Elevation of Privilege Vulnerability / CVE-2024-30051 / Security Vulnerability
Aktuelles, Experten, Studien - Nov 29, 2024 19:21 - noch keine Kommentare
TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
weitere Beiträge in Experten
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
- Bildungsprojekt MedienTrixx hat Datenschutz und Künstliche Intelligenz im Fokus
- Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an
Aktuelles, Branche, Studien - Nov 30, 2024 20:46 - noch keine Kommentare
KI als zweischneidiges Schwert: Zukunft der Cyber-Bedrohung und -abwehr werden neu definiert
weitere Beiträge in Branche
- IT Security Economics Report: Cyber-Angriffe verursachen Unternehmen durchschnittliche Kosten von 1,06 Millionen US-Dollar
- NIS-2: EU leitet Vertragsverletzungsverfahren gegen Deutschland ein
- Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf
- IT-Defense: Nächste Auflage vom 12. bis 14. Februar 2025 in Leipzig
- Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren