Майский «вторник обновлений» компании Microsoft содержит патчи для 61 уязвимости, три из которых представляли собой 0-day и две активно эксплуатировались хакерами. К примеру, проблема CVE-2024-30051 была связана с DWM (Desktop Window Manager) и использовалась для доставки пейлоадов малвари QakBot.
Одной из наиболее серьезных проблем этого месяца стала именно уязвимость нулевого дня CVE-2024-30051 (7,8 баллов по шкале CVSS), ведущая к повышению привилегий. Эта проблема связана с переполнением буфера на хипа в основной библиотеке DWM (Desktop Window Manager), и после успешной эксплуатации бага злоумышленники могли повысить свои привилегии до уровня SYSTEM.
Desktop Window Manager — это служба Windows, появившаяся еще в Windows Vista и позволяющая ОС использовать аппаратное ускорение при рендеринге графических элементов пользовательского интерфейса.
Уязвимость обнаружили исследователи «Лаборатории Касперского», изучая другую ошибку повышения привилегий в библиотеке Windows DWM (CVE-2023-36033), которая так же использовалась хакерами.
Анализируя данные о последних эксплоитах и связанных с ними атаках, эксперты наткнулись на файл, загруженный на VirusTotal 1 апреля 2024 года. Название файла намекало, что в нем могут содержаться сведения об уязвимости в Windows.
Оказалось, что в файле действительно приводилась информация об уязвимости DWM (на ломаном английском языке), которая могла использоваться для повышения привилегий до уровня SYSTEM. Причем описанный процесс эксплуатации полностью повторял тот, что использовался в атаках с CVE-2023-36033, хотя в нем описывалась другая уязвимость.
«После отправки результатов наших исследований в Microsoft мы внимательно отслеживали нашу статистику в поисках эксплоитов и атак, использующих эту уязвимость нулевого дня. В середине апреля мы обнаружили эксплоит для этой 0-day уязвимости, — пишут исследователи. — Мы наблюдали, что он используется QakBot и другими вредоносными программами, и полагаем, что доступ к нему имеют несколько злоумышленников».
QakBot
QakBot, активный с 2008 года, изначально представлял собой банковский троян, но со временем превратился в мощный загрузчик вредоносного ПО, способный развертывать дополнительные полезные нагрузки, похищать конфиденциальную информацию и обеспечивать боковое перемещение.
Хотя инфраструктура QakBot была ликвидирована в августе 2023 года в результате международной операции «Утиная охота» (Duck Hunt), уже в декабре вредоносное ПО вновь было замечено в фишинговых кампаниях, направленных на гостиничный бизнес.
На протяжении многих лет QakBot служил вектором заражения для различных вымогательских группировок, включая Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex и Black Basta.
Вторая 0-day уязвимость, исправленная Microsoft в этом месяце, получила идентификатор CVE-2024-30040 (8,8 балла по шкале CVSS) и представляет собой ошибку обхода защиты Windows MSHTML.
Эта находившаяся под атаками проблема, связана с обходом защиты OLE, добавленной в Microsoft 365 и Microsoft Office для защиты пользователей от уязвимых элементов управления COM/OLE.
«Злоумышленник должен убедить пользователя загрузить вредоносный файл в уязвимую систему (обычно с помощью сообщения по электронной почте или мессенджере), а затем убедить пользователя взаимодействовать со специально созданным файлом, но не обязательно кликнуть или открыть его, — объясняет Microsoft. — Неавторизованный злоумышленник, успешно эксплуатирующий эту уязвимость, мог добиться выполнения кода в контексте пользователя, убедив жертву открыть вредоносный документ».
Также в Microsoft утверждают, что упомянутая выше уязвимость CVE-2024-30051 тоже была раскрыта публично, хотя неясно, где именно. Кроме того, Microsoft сообщает, что уязвимость отказа в обслуживании в Microsoft Visual Studio (CVE-2024-30046), так же была публично раскрыта и являлась 0-day.
Помимо перечисленных багов, компания призвала администраторов Windows обратить внимание на проблему CVE-2024-30044, которая представляет собой единственную критическую уязвимость этого месяца и позволяет добиться удаленного выполнения кода в Microsoft Sharepoint.
«Аутентифицированный злоумышленник с правами владельца сайта может использовать уязвимость для внедрения произвольного кода и выполнения этого кода в контексте SharePoint Server», — предупредили разработчики.