Microsoft patcht den von Qakbot ausgenutzten Zero-Day
Microsoft hat ein Patch für eine Zero-Day Sicherheitslücke veröffentlicht, die laut Sicherheitsforschern von den Betreibern des Qakbot-Botnetzes und anderen Hackern aktiv ausgenutzt wurde.
Die US-Behörden haben das Botnet, das auch unter dem Namen Qbot bekannt ist, im August zerschlagen und gegenüber Reportern erklärt, dass es als Ergebnis einer Anti-Malware-Kampagne mit dem Namen Operation Duck Hunt seinen Betrieb eingestellt hat. Malware-Analysten beobachteten innerhalb weniger Monate ein Wiederaufleben - ein Comeback, das auch anderen Betreibern großer Trojaner nach der Zerschlagung von Infrastrukturen gelungen ist.
Forscher des Cybersicherheitsunternehmens Kaspersky gaben an, dass sie die Betreiber von Qakbot Mitte April dabei beobachteten, wie sie den Zero-Day CVE-2024-30051 nutzten. Die Schwachstelle zur Erhöhung der Berechtigungen wird auf der CVSS-Skala als "wichtig" eingestuft. Telemetriedaten deuten darauf hin, dass mehrere Akteure diese Schwachstelle ausgenutzt haben, so Kaspersky. Microsoft teilte mit, dass Forscher von DBAPPSecurity, Google und dem zu Google gehörenden Unternehmen Mandiant das Unternehmen ebenfalls über die Schwachstelle informiert haben.
Die Schwachstelle befindet sich im Desktop Window Manager, der Funktion in Microsoft-Betriebssystemen seit Vista, die einen Puffer außerhalb des Bildschirms für jedes Fenster bereitstellt, um die Darstellung von Anzeigen und die Anwendung von Effekten wie dem Einrasten von Fenstern zu verbessern.
Diese Art von Bugs wird normalerweise mit einem Fehler bei der Codeausführung kombiniert, um ein Ziel zu kontrollieren, und wird oft von Ransomware genutzt. Microsoft schreibt vier verschiedenen Gruppen zu, die den Fehler gemeldet haben, was darauf hindeutet, dass die Angriffe weit verbreitet sind.
Die Kaspersky-Forscher entdeckten die Schwachstelle bei der Untersuchung einer anderen Schwachstelle - einer gepatchten Windows-Sicherheitslücke, die sich ebenfalls im Desktop Window Manager befindet. Bei der Suche nach Malware-Samples stießen sie auf "ein merkwürdiges Dokument, das am 1. April auf VirusTotal hochgeladen wurde", das eine kurze Beschreibung des Zero-Days in "sehr gebrochenem Englisch" enthält und zeigt, wie man ihn ausnutzen kann, um Systemprivilegien zu erlangen.
Qakbot wurde 2008 als Banking-Trojaner entwickelt, aber seine Betreiber haben sich im Laufe der Jahre zu einem ersten Zugangsvermittler für andere Cyberkriminelle entwickelt. Sie haben den Zugang an kriminelle Banden verkauft, darunter auch an russischsprachige Ransomware-Unternehmen.
Der jüngste Patch Tuesday von Microsoft behebt zwei aktive Zero-Days, darunter die von Qakbot ausgenutzte Schwachstelle. Die andere, CVE-2024-30040, wird auf der CVSS-Skala ebenfalls als "wichtig" eingestuft. Die Sicherheitslücke liegt in der Browser-Engine MSHTML, die Webseiten rendert, die häufig mit dem Internet Explorer verbunden sind. Microsoft behält die Rendering-Funktion aus Kompatibilitätsgründen in den Betriebssystemen bei, obwohl der Internet Explorer schon lange nicht mehr verwendet wird. Ein Hacker, der ein Opfer durch Social-Engineering dazu bringt, ein bösartiges Dokument zu öffnen, könnte beliebigen Code ausführen, indem er OLE-bezogene Schutzmaßnahmen in der Microsoft-Suite von Büroanwendungen umgeht.