Los analistas de Kaspersky, Boris Larin y Mert Degirmenci, han detectado una nueva vulnerabilidad zero-day en Windows, identificada como CVE-2024-30051. Este hallazgo ocurrió durante su investigación sobre la vulnerabilidad de elevación de privilegios en la biblioteca DWM Core de Windows (CVE-2023-36033) a principios de abril de 2024. Microsoft lanzó un parche para esta vulnerabilidad el 14 de mayo de 2024, como parte de su Patch Tuesday.
El 1 de abril de 2024, los analistas encontraron un documento subido a VirusTotal que despertó su interés. El archivo, cuyo nombre sugería una posible vulnerabilidad en Windows, contenía una descripción del proceso de explotación muy similar al exploit zero-day para CVE-2023-36033, aunque las vulnerabilidades eran distintas. A pesar de los errores en el uso del inglés y los detalles sobre cómo activar la vulnerabilidad, el documento resultó ser una pista crucial.
Kaspersky descubre una nueva vulnerabilidad zero-day en Windows con ataques de QakBot
Aunque inicialmente pensaron que la vulnerabilidad podría ser ficticia o difícil de explotar, una verificación rápida confirmó que se trataba de una vulnerabilidad zero-day capaz de escalar los privilegios del sistema. Kaspersky notificó inmediatamente a Microsoft, quien validó la vulnerabilidad y le asignó la denominación CVE-2024-30051.
Tras el informe, la compañía de ciberseguridad comenzó a monitorizar los ataques utilizando la vulnerabilidad zero-day y, a mediados de abril, el equipo detectó un exploit para CVE-2024-30051, observando su uso junto con QakBot y otros malware, lo que indica que múltiples actores de amenazas tienen acceso a este exploit. “Encontramos el documento en VirusTotal sospechoso debido a su naturaleza descriptiva y decidimos investigar más a fondo, lo que nos llevó a descubrir esta crítica vulnerabilidad zero-day. La rapidez con la que los actores de amenazas están integrando este exploit en su arsenal subraya la importancia de las actualizaciones y la vigilancia en ciberseguridad”, apunta Boris Larin, analista principal de seguridad en Kaspersky GReAT.
Vulnerabilidad zero-day en Windows
Desde su identificación en 2007, Kaspersky ha monitoreado de cerca a QakBot, un troyano bancario avanzado. Inicialmente diseñado para robar credenciales bancarias, QakBot ha evolucionado para incluir capacidades como el robo de correos electrónicos, registro de teclas (keylogging), y la propagación e instalación de ransomware. Este malware es conocido por sus constantes actualizaciones y mejoras, lo que lo convierte en una amenaza persistente en el ámbito de la ciberseguridad. En años recientes, se ha detectado que QakBot se distribuye utilizando otros botnets, como Emotet.
Kaspersky ha actualizado varios de sus productos para detectar y mitigar la explotación de CVE-2024-30051 y el malware asociado, incluyendo:
- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generic
- UDS:DangerousObject.Multi.Generic
- Trojan.Win32.Agent.gen
- Trojan.Win32.CobaltStrike.gen