QakBot-Angriffe mit Windows Zero-Day CVE-2024-30051

In einem detaillierten Bericht über die Windows DWM Core Library Elevation of Privilege Vulnerability (CVE-2023-36033), entdeckten Sicherheitsforscher von Kaspersky Anfang April 2024 einen kritischen Zero-Day-Exploit für Windows. Dieser neue Exploit ermöglicht Angreifern die Eskalation von Systemprivilegien.

Ein Dokument, das am 1. April 2024 auf VirusTotal hochgeladen wurde, enthielt eine Beschreibung dieser Schwachstelle im Windows Desktop Window Manager (DWM). Trotz der schlechten Qualität des Textes und fehlender Details bestätigten die Forscher, dass es sich um eine reale Zero-Day-Schwachstelle handelt. Microsoft wurde umgehend informiert und veröffentlichte am 14. Mai 2024 im Rahmen von Patch Tuesday ein Sicherheitsupdate.

Inzwischen haben die Forscher festgestellt, dass dieses Exploit von mehreren Bedrohungsakteuren verwendet wird, darunter auch in Kombination mit der QakBot-Malware.

CVE-2024-30051 betrifft die Windows Desktop Window Manager (DWM) Core Library und ermöglicht die Eskalation von Privilegien. Diese Schwachstelle wurde als “wichtig” eingestuft und hat eine maximale Schwerebewertung von 7,8 nach dem CVSS 3.1 Standard. Der zugrunde liegende Schwachpunkt ist ein heap-basiertes Buffer Overflow (CWE-122), das es Angreifern ermöglicht, die Kontrolle über betroffene Systeme zu übernehmen

Related Posts

Sicherheitslücke in SAP NetWeaver Application Server ABAP und ABAP Platform

Am 23. April 2024 wurde eine kritische Sicherheitslücke in SAP NetWeaver Application Server ABAP und ABAP Platform (Version unbekannt) entdeckt und als CVE-2024-33006 identifiziert. Diese Schwachstelle ermöglicht eine unbeschränkte Dateiupload-Attacke, klassifiziert unter CWE-434.

Read More

Bösartige Go-Binärdatei mittels Steganografie in PyPI verteilt

Am 10. Mai 2024 alarmierte die Risikodetektionsplattform von Phylum über eine verdächtige Veröffentlichung auf PyPI. Das Paket namens requests-darwin-lite erschien als ein Fork des beliebten requests-Pakets, jedoch mit einer kritischen Abweichung: einer bösartigen Go-Binärdatei, die in eine große Version des tatsächlichen requests-Seitenleisten-Logos (PNG) eingebettet war.

Read More

Trojaner nutzt GoTo Meeting als Rust Shellcode Loader

Laut einer Malware Studie von GData wird die Anwendung GoTo Meeting ausgenutzt, um Malware auf Windows zu installieren. Threat Actors nutzten dabei GoTo Meeting zur Verbreitung des Remcos RAT (Remote Access Trojan). Angreifer verwenden dabei Dateien, wie Software-Setup-Dateien und Steuerformulare, oft mit Dateinamen in russischer und englischer Sprache, um Opfer anzulocken. Der Bericht zeigt folgende Infektionskette auf:

Read More