Hacker greifen Zero-Day-Lücke in Windows mit Banking-Trojaner QakBot an

Kaspersky hat Details zu Angriffen auf eine in dieser Woche gepatchte Zero-Day-Lücke in Windows und Windows Server genannt. Entdeckt wurde die Schwachstelle von zwei Forschern von Kaspersky, nachdem am 1. April ein auf VirusTotal hochgeladenes Dokument ihre Aufmerksamkeit erweckte. Es führte sie schließlich zu der neuen Zero-Day-Lücke und einer neuen Malware-Kampagne mit dem Banking-Trojaner QakBot.

Das Dokument mit einem aussagekräftigen Dateinamen wies auf eine potenzielle Sicherheitslücke im Windows-Betriebssystem hin. Trotz des gebrochenen Englisch und der fehlenden Details wie die Schwachstelle ausgelöst werden kann, beschrieb das Dokument einen Exploit-Prozess, der dem Zero-Day-Exploit für CVE-2023-36033 glich, obwohl sich die Schwachstellen voneinander unterschieden. Das Team vermutete, die Sicherheitslücke sei entweder erfunden oder nicht ausnutzbar. Trotzdem setzte es seine Untersuchung fort. Eine schnelle Überprüfung ergab jedoch, dass es sich tatsächlich um eine Zero-Day-Schwachstelle handelt, die zu einer Ausweitung der Systemprivilegien führen kann.

Nach der Meldung ihrer Erkenntnisse an Microsoft und der Bestätigung der Schwachstelle begannen die Experten von Kaspersky die Exploits und Angriffe, die diese Zero-Day-Schwachstelle nutzen, näher unter die Lupe zu nehmen. Mitte April entdeckte das Team einen Exploit für CVE-2024-30051 und beobachtete seine Verwendung in Verbindung mit QakBot sowie anderer Malware. Kaspersky geht deswegen davon aus, dass mehrere Bedrohungsakteure Zugriff auf diesen Exploit haben.

„Wir fanden das Dokument auf VirusTotal aufgrund seines aussagekräftigen Charakters sehr interessant und haben es deshalb näher untersucht. So konnten wir diese kritische Zero-Day-Schwachstelle entdecken“, sagte Boris Larin, Principal Security Researcher bei Kaspersky. „Die Geschwindigkeit, mit der Bedrohungsakteure diesen Exploit in ihr Arsenal integrieren, unterstreicht wie wichtig es ist, rechtzeitig Updates vorzunehmen und insgesamt immer wachsam zu bleiben, was die Cybersicherheit betrifft.“

Die fragliche Zero-Day-Lücke steckt in der Window DWM-Core-Bibliothek. Ein Angreifer kann unter Umständen System-Rechte erlangen. Betroffen sind alle unterstützten Version von Windows 10 und Windows 11 sowie Windows Server 2016, 2019 und 2022. Die Zero-Day-Initiative vermutete bereits Anfang der Woche, dass diese Sicherheitslücke nicht ausschließlich für zielgerichtete Attacken eingesetzt wird.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple Vision Pro im Arbeitsumfeld: Hype oder Highlight?

Handelt es sich um ein ernstzunehmendes Werkzeug oder ist es lediglich eine schöne und teure…

1 Stunde ago

Wimbledon: KI für personalisierte Spielerberichte

„Catch Me Up“, entwickelt und trainiert mit IBMs Granite LLM, hilft Tennisfans, über alle Spiele…

1 Stunde ago

Einsatz von AI-Videoeditoren in der modernen Videobearbeitung

Um den Videobearbeitungsprozess zu vereinfachen, verbessern und ihn effizienter und für alle Benutzer zugänglich zu…

3 Stunden ago

Podcast: Geschäftsprozesse mit generativer KI automatisieren

Wie sich unstrukturierte Daten unter anderem für die Automatisierung von Rechnungsprozessen nutzen lassen, erklärt Ruud…

3 Tagen ago

Kehrtwende: Microsoft verschiebt Windows Copilot Recall

Geplante Markteinführung mit den Copilot+ PCs ist vorerst vom Tisch. Stattdessen startet in den kommenden…

3 Tagen ago

Copilot Pro: Microsoft streicht GPT Builder – nach nur drei Monaten

Die Änderung gilt zumindest für die Consumer-Version von Copilot. Die Zukunft des GPT Builder für…

4 Tagen ago