Kaspersky découvre des attaques QakBot exploitant une nouvelle vulnérabilité Windows de type "zero-day"
mai 2024 par Kaspersky
Les chercheurs de Kaspersky Boris Larin et Mert Degirmenci ont identifié une nouvelle vulnérabilité zero-day dans Windows, désignée CVE-2024-30051. Cette découverte a été faite lors d’une enquête sur la vulnérabilité Windows DWM Core Library Elevation of Privilege (CVE-2023-36033) au début du mois d’avril 2024. Un correctif a été publié le 14 mai 2024, dans le cadre du Patch Tuesday de mai de Microsoft.
Le 1er avril 2024, un document mis en ligne sur VirusTotal a attiré l’attention des chercheurs de Kaspersky. Ce document, dont le nom de fichier était descriptif, laissait entrevoir une vulnérabilité potentielle du système d’exploitation Windows. Malgré un anglais approximatif et l’absence de détails sur la manière de déclencher la faille, le document décrivait un processus d’exploitation identique à zero-day pour CVE-2023-36033, bien qu’elle diffère. Soupçonnant la vulnérabilité d’être soit fictive, soit inexploitable, l’équipe a poursuivi son enquête. Une vérification rapide a révélé qu’il s’agissait d’une véritable vulnérabilité de type "zero-day" capable d’élever les privilèges du système.
Kaspersky a rapidement fait part de ses conclusions à Microsoft, qui a vérifié la vulnérabilité et lui a attribué le code CVE-2024-30051.
À la suite de ce rapport, Kaspersky a commencé à surveiller les attaques utilisant cette vulnérabilité. À la mi-avril, l’équipe a détecté un programme pour CVE-2024-30051, observant son utilisation en conjonction avec QakBot et d’autres logiciels malveillants, ce qui indique que de multiples acteurs de la menace ont accès à cet outil.
"Nous avons trouvé le document sur VirusTotal intriguant en raison de sa nature descriptive et avons décidé d’enquêter davantage, ce qui nous a permis de découvrir cette vulnérabilité zero-day critique ". La vitesse à laquelle les acteurs de la menace intègrent cet outil à leur arsenal souligne l’importance des mises à jour opportunes et de la vigilance en matière de cybersécurité ", a déclaré Boris Larin, chercheur principal en sécurité chez Kaspersky GReAT.
Kaspersky prévoit de publier des détails techniques sur CVE-2024-30051 une fois qu’il se sera écoulé suffisamment de temps pour que la plupart des utilisateurs mettent à jour leurs systèmes Windows. Kaspersky remercie Microsoft pour la rapidité de l’analyse et de la publication des correctifs.
Les produits Kaspersky ont été mis à jour pour détecter l’exploitation de CVE-2024-30051 et les logiciels malveillants associés avec les verdicts suivants :
– PDM:Exploit.Win32.Generic
– PDM:Trojan.Win32.Generic
– UDS:DangerousObject.Multi.Generic
– Trojan.Win32.Agent.gen
– Trojan.Win32.CobaltStrike.gen
Kaspersky traque QakBot, un cheval de Troie bancaire sophistiqué, depuis sa découverte en 2007. Conçu à l’origine pour voler des identifiants bancaires, QakBot a considérablement évolué, acquérant de nouvelles fonctionnalités telles que le vol de courriels, l’enregistrement de frappe et la capacité de se propager et d’installer des ransomwares. Ce logiciel malveillant est connu pour ses fréquentes mises à jour et améliorations, ce qui en fait une menace persistante dans le paysage de la cybersécurité. Ces dernières années, QakBot a été observé en train d’exploiter d’autres botnets, tels qu’Emotet, pour sa distribution.