Zeroday-Schwachstelle in Windows wird aktiv ausgenutzt

Schwachstelle in Windows wird aktiv ausgenutzt

Anfällig sind nicht nur Windows 10 und 11, sondern auch Windows Server 2016, 2019 und 2022. Hacker nutzen die Zero-Day-Schwachstelle aus, um Systemrechte zu erlangen.

Microsoft hat am Dienstag einen Patch für eine Zero-Day-Schwachstelle in Windows veröffentlicht, die im Rahmen der Verbreitung von Malware bereits aktiv ausgenutzt wird. Die Sicherheitslücke ist als CVE-2024-30051 registriert und ermöglicht es einem Angreifer mit lokalem Zugriff, Systemrechte zu erlangen. Vorab braucht er dafür nur geringe Privilegien. Die Komplexität des Angriffs ist als gering eingestuft.

Die Schwachstelle basiert auf einem Pufferüberlauf in der Core-Library des Desktop Window Managers (DWM) – einem mit Windows Vista eingeführten Fenstermanager. Anfällig sind Windows 10 und 11 sowie Windows Server 2016, 2019 und 2022. Patches stehen seit dem 14. Mai für alle betroffenen Systeme bereit und sollten angesichts der aktiven Ausnutzung zeitnah installiert werden.

Entdeckt in einem Upload auf Virustotal

Entdeckt wurde CVE-2024-30051 von Sicherheitsforschern von Kaspersky, während sie Anfang April Nachforschungen bezüglich einer anderen und als CVE-2023-36033 registrierten Sicherheitslücke anstellten. Bei Letzterer handelt es sich ebenfalls um eine Zero-Day-Schwachstelle in der DWM-Core-Library, die eine Rechteausweitung ermöglicht und schon 2023 entdeckt und gepatcht wurde.

Bei ihren Untersuchungen wurden die Forscher nach eigenen Angaben auf eine am 1. April bei Virustotal hochgeladene Datei aufmerksam. Darin sei eine kurze Beschreibung einer Sicherheitslücke im DWM enthalten gewesen, inklusive einer Erklärung, wie diese ausgenutzt werden könne, um Systemprivilegien zu erlangen. Der Ablauf habe jenem zur Ausnutzung von CVE-2023-36033 geähnelt, die Schwachstelle sei jedoch eine andere gewesen.

Das Forscherteam habe Microsoft umgehend über seine Entdeckung informiert, heißt es weiter im Bericht von Kaspersky. Im Anschluss habe das Team damit begonnen, nach verfügbaren Exploits und Angriffen zu suchen. Mitte April wurden die Forscher dann fündig: "Wir haben gesehen, dass die Sicherheitslücke zusammen mit Qakbot und anderer Malware verwendet wird, und glauben, dass mehrere Bedrohungsakteure Zugang dazu haben", so die Forscher.

Bei Qakbot handelt es sich um eine Schadsoftware, die infizierte Systeme in ein Botnetz eingliedert und diese unter anderem für Ransomwareangriffe missbraucht. Das FBI hatte im August 2023 die erfolgreiche Zerschlagung der Qakbot-Infrastruktur verkündet. Später stellte sich jedoch heraus, dass die Hintermänner dabei offenbar nicht erwischt wurden. Sicherheitsforscher von Cisco Talos entdeckten im Oktober 2023 eine neue Angriffskampagne, die mit den Qakbot-Akteuren in Verbindung gebracht wurde.

Mit technischen Details zu CVE-2024-30051 hält sich Kaspersky noch zurück. Das Forschungsteam wolle Anwendern zunächst Zeit einräumen, ihre Windows-Systeme zu patchen, so das Argument.

Gefunden auf https://www.golem.de/news/malware-im-anmarsch-schwachstelle-in-windows-wird-aktiv-ausgenutzt-2405-185134.html