微软解决了 QakBot 恶意软件利用的零日漏洞

微软修补了一个零日漏洞，攻击者利用该漏洞在易受影响的 Windows 系统上分发 QakBot 和其他恶意软件有效负载。

该漏洞编号为CVE-2024-30051，是由于桌面窗口管理器 (DWM) 核心库中基于堆的缓冲区溢出而导致的权限提升缺陷。微软表示，成功利用该漏洞将授予攻击者“系统权限”。

“这些类型的错误通常与代码执行错误相结合来接管目标，并且经常被勒索软件（攻击者）使用，” 零日计划的达斯汀·蔡尔兹（Dustin Childs）说。

桌面窗口管理器 (dwm.exe) 在 Windows Vista 中引入，是一个合成窗口管理器，可呈现 Windows 中的所有 GUI 效果，如透明窗口、实时任务栏缩略图、Flip3D，甚至高分辨率显示器支持。

应用程序不会直接在屏幕上绘制。相反，他们将窗口图像写入内存中的特定位置。然后，Windows 将所有这些窗口组合并创建一个“复合”视图，然后将其发送到监视器。这允许 Windows 在显示窗口时添加透明度和动画等效果。

卡巴斯基研究人员在调查另一个 Windows DWM 核心库权限升级漏洞（编号为 CVE-2023-36033）时发现了此漏洞，该漏洞也被用作攻击中的零日漏洞。

在分析与最近的漏洞和相关攻击相关的数据时，卡巴斯基研究人员发现了一个于 4 月 1 日上传到 VirusTotal 的有趣文件。该文件的名称暗示它包含有关 Windows 漏洞的详细信息。

该文件包含有关 Windows DWM 漏洞的信息（用蹩脚的英语编写），可利用该漏洞将权限升级到系统级别，利用过程几乎与 CVE-2023-36033 攻击中使用的过程相同，“但该漏洞不同， “研究人员说。

最初由于该文档的质量和缺乏利用该漏洞的关键细节而受到怀疑，进一步调查证实了另一个能够进行权限升级的零日漏洞的合法性。卡巴斯基立即向微软报告了这一问题，导致其被指定为 CVE-2024-30051，并随后在本月的补丁星期二进行了修补。

QakBot 利用的零日漏洞
在向微软报告后，卡巴斯基继续监控利用此缺陷的漏洞和攻击。

“四月中旬，我们发现了针对此零日漏洞的利用。我们已经看到它与 QakBot 和其他恶意软件一起使用，并相信多个威胁行为者可以访问它，”卡巴斯基说。

Childs 表示，谷歌威胁分析小组、DBAPPSecurity WeBin 实验室和谷歌旗下的 Mandiant 的安全研究人员也向微软报告了该零日漏洞，指出恶意软件攻击中可能存在广泛的利用。

“不要等待测试和部署此更新，因为既然补丁可用于逆向工程，那么漏洞利用可能会增加，” Childs 说。

美国网络安全和基础设施安全局还将 CVE-2024-30051 添加到其已知利用的漏洞目录中，并指示所有联邦机构在 6 月 4 日之前完成修补过程。

一旦用户有足够的时间更新其 Windows 系统，卡巴斯基计划披露 CVE-2024-30051 的技术细节。

QakBot 从银行木马到初始访问代理的旅程
QakBot，也称为 Qbot，于 2008 年作为银行木马出现，用于窃取凭据、网站 cookie 和信用卡以实施金融欺诈。 QakBot 运营商多年来发展成为初始访问代理，与其他威胁团体合作，为勒索软件攻击、间谍活动和数据盗窃提供对企业和家庭网络的初始访问。

在 FBI 牵头的一次名为“猎鸭行动”的多国执法行动之后，QakBot 的基础设施于 2023 年 8 月被拆除。但微软在 12 月份发现QakBot 在针对酒店业的网络钓鱼活动中卷土重来。

执法部门将 QakBot 感染与 700,000 台受害计算机联系起来，其中包括针对全球企业、医疗保健提供者和政府机构的勒索软件攻击，据保守估计，这些攻击造成了数亿美元的损失。

多年来，Qakbot 一直是各种勒索软件团伙及其附属机构的初始感染媒介，包括 Conti、ProLock、Egregor、REvil、RansomExx、MegaCortex 以及最近的 Black Basta。

另一个零日修复
Microsoft 在 2024 年 5 月补丁星期二版本中修补了 59 个 CVE，其中 1 个被评为“严重”，57 个被评为“重要”，1 个被评为“中等”。

该补丁还修复了 QakBot 所利用的另一个零日漏洞。另一个漏洞编号为CVE-2024-30040，在 CVSS 等级上被评为“重要”，是一个 Windows MSHTML 平台安全功能绕过漏洞。 MSHTML 是 Microsoft Windows 版本的 Internet Explorer 的专有浏览器引擎。

微软表示：“该漏洞绕过了 Microsoft 365 和 Microsoft Office 中的 OLE 缓解措施，从而保护用户免受易受攻击的 COM/OLE 控件的影响。”

通过社交方式诱使受害者打开恶意文档的黑客将能够通过在 Microsoft 办公应用程序套件中传递 OLE 缓解措施来执行任意代码。