Microsoft ha lanzado una solución para una vulnerabilidad zero-day que estaba siendo explotada en ataques para distribuir cargas útiles de malware como QakBot en sistemas Windows vulnerables. Esta vulnerabilidad, identificada como CVE-2024-30051, permite a los atacantes obtener privilegios del sistema tras una explotación exitosa de un desbordamiento de búfer basado en heap en la biblioteca principal del Administrador de Ventanas de Escritorio (DWM, por sus siglas en inglés).
Detalles de la Vulnerabilidad
El Administrador de Ventanas de Escritorio (DWM) es un servicio de Windows introducido en Windows Vista que permite al sistema operativo utilizar aceleración de hardware al renderizar elementos de la interfaz gráfica de usuario, como marcos de ventana de vidrio y animaciones de transición en 3D. La vulnerabilidad, descubierta por investigadores de seguridad de Kaspersky, se encontró mientras investigaban otro error de escalada de privilegios en la biblioteca principal del DWM de Windows, rastreado como CVE-2023-36033.
Descubrimiento y Confirmación
Los investigadores encontraron un archivo sospechoso en VirusTotal el 1 de abril de 2024, que proporcionaba información sobre una vulnerabilidad en el Administrador de Ventanas de Escritorio de Windows que podría ser explotada para escalar privilegios a SYSTEM. A pesar de algunas omisiones en el documento, se confirmó la existencia de esta nueva vulnerabilidad zero-day. Posteriormente, Microsoft asignó el identificador CVE-2024-30051 y lanzó un parche durante el “Patch Tuesday” de este mes.
Impacto y Utilización
El exploit de esta vulnerabilidad se ha observado en ataques de malware junto con QakBot y otros tipos de malware. Se cree que varios actores de amenazas tienen acceso a esta vulnerabilidad. QakBot, originalmente un troyano bancario en 2008, ha evolucionado a lo largo de los años para convertirse en un servicio de entrega de malware, asociándose con otros grupos de amenazas para proporcionar acceso inicial a redes empresariales y domésticas para ataques de ransomware, espionaje o robo de datos.
Antecedentes de QakBot
Aunque la infraestructura de QakBot fue desmantelada en agosto de 2023 tras una operación policial multinacional liderada por el FBI, el malware resurgió en campañas de phishing dirigidas a la industria hotelera en diciembre del mismo año. Se ha vinculado a QakBot con al menos 40 ataques de ransomware dirigidos a empresas, proveedores de atención médica y agencias gubernamentales en todo el mundo, causando daños por cientos de millones de dólares.
Esta corrección de seguridad de Microsoft resalta la importancia de mantener los sistemas actualizados y protegidos contra amenazas emergentes. Los usuarios de Windows deben aplicar los parches de seguridad más recientes para protegerse contra posibles ataques de malware, especialmente aquellos que se aprovechan de vulnerabilidades zero-day como CVE-2024-30051.