Hacker greifen Zero-Day-Lücke in Windows mit Banking-Trojaner QakBot an

Kaspersky hat Details zu Angriffen auf eine in dieser Woche gepatchte Zero-Day-Lücke in Windows und Windows Server genannt. Entdeckt wurde die Schwachstelle von zwei Forschern von Kaspersky, nachdem am 1. April ein auf VirusTotal hochgeladenes Dokument ihre Aufmerksamkeit erweckte. Es führte sie schließlich zu der neuen Zero-Day-Lücke und einer neuen Malware-Kampagne mit dem Banking-Trojaner QakBot.

Das Dokument mit einem aussagekräftigen Dateinamen wies auf eine potenzielle Sicherheitslücke im Windows-Betriebssystem hin. Trotz des gebrochenen Englisch und der fehlenden Details wie die Schwachstelle ausgelöst werden kann, beschrieb das Dokument einen Exploit-Prozess, der dem Zero-Day-Exploit für CVE-2023-36033 glich, obwohl sich die Schwachstellen voneinander unterschieden. Das Team vermutete, die Sicherheitslücke sei entweder erfunden oder nicht ausnutzbar. Trotzdem setzte es seine Untersuchung fort. Eine schnelle Überprüfung ergab jedoch, dass es sich tatsächlich um eine Zero-Day-Schwachstelle handelt, die zu einer Ausweitung der Systemprivilegien führen kann.

Nach der Meldung ihrer Erkenntnisse an Microsoft und der Bestätigung der Schwachstelle begannen die Experten von Kaspersky die Exploits und Angriffe, die diese Zero-Day-Schwachstelle nutzen, näher unter die Lupe zu nehmen. Mitte April entdeckte das Team einen Exploit für CVE-2024-30051 und beobachtete seine Verwendung in Verbindung mit QakBot sowie anderer Malware. Kaspersky geht deswegen davon aus, dass mehrere Bedrohungsakteure Zugriff auf diesen Exploit haben.

„Wir fanden das Dokument auf VirusTotal aufgrund seines aussagekräftigen Charakters sehr interessant und haben es deshalb näher untersucht. So konnten wir diese kritische Zero-Day-Schwachstelle entdecken“, sagte Boris Larin, Principal Security Researcher bei Kaspersky. „Die Geschwindigkeit, mit der Bedrohungsakteure diesen Exploit in ihr Arsenal integrieren, unterstreicht wie wichtig es ist, rechtzeitig Updates vorzunehmen und insgesamt immer wachsam zu bleiben, was die Cybersicherheit betrifft.“

Die fragliche Zero-Day-Lücke steckt in der Window DWM-Core-Bibliothek. Ein Angreifer kann unter Umständen System-Rechte erlangen. Betroffen sind alle unterstützten Version von Windows 10 und Windows 11 sowie Windows Server 2016, 2019 und 2022. Die Zero-Day-Initiative vermutete bereits Anfang der Woche, dass diese Sicherheitslücke nicht ausschließlich für zielgerichtete Attacken eingesetzt wird.