QakBot 利用 Windows 零日攻击 (CVE-2024-30051)

2024 年 4 月上旬，我们决定仔细研究 Windows DWM 核心库特权提升漏洞CVE-2023-36033，该漏洞之前被发现是一个在野外被利用的零日漏洞。在搜索与此漏洞以及使用该漏洞的攻击相关的样本时，我们发现了一份于 2024 年 4 月 1 日上传到 VirusTotal 的奇怪文档。该文档引起了我们的注意，因为它有一个相当描述性的文件名，这表明它包含有关Windows 操作系统中的漏洞。在里面我们发现了一个关于 Windows 桌面窗口管理器 (DWM) 漏洞的简短描述以及如何利用它来获取系统权限，所有内容都是用非常蹩脚的英语编写的。本文档中描述的利用过程与前面提到的 CVE-2023-36033 零日漏洞利用过程相同，但漏洞不同。从写作质量以及该文档缺少有关如何实际触发漏洞的一些重要细节的事实来看，所描述的漏洞很可能是完全虚构的或存在于无法访问或无法访问的代码中。被攻击者控制。但我们仍然决定对其进行调查，快速检查表明这是一个真正的零日漏洞，可用于提权。我们立即向 Microsoft 报告了我们的发现，该漏洞被指定为CVE-2024-30051，并于 2024 年 5 月 14 日发布了补丁，作为补丁星期二的一部分。

将我们的发现发送给 Microsoft 后，我们开始密切监控我们的统计数据，以寻找利用此零日漏洞的漏洞和攻击，并于 4 月中旬发现了针对此零日漏洞的利用。我们已经看到它与QakBot和其他恶意软件一起使用，并相信多个威胁参与者可以访问它。

一旦用户有时间更新其 Windows 系统，我们将发布有关 CVE-2024-30051 的技术详细信息。

卡巴斯基产品检测到 CVE-2024-30051 及相关恶意软件的利用情况，并做出如下结论：

• PDM:Exploit.Win32.Generic;

• PDM:Trojan.Win32.Generic;

• UDS:DangerousObject.Multi.Generic;

• Trojan.Win32.Agent.gen;

• Trojan.Win32.CobaltStrike.gen.