Microsoft ha rilasciato ieri sera le patch di sicurezza per Windows 11 e Windows 10. Gli utenti dovrebbero installare gli aggiornamenti al più presto, in quanto sono stati rilevati attacchi effettuati con il noto malware QBot (Qakbot) che sfruttano una vulnerabilità zero-day.
Bug nella libreria DWM
La vulnerabilità zero-day, indicata con CVE-2024-30051, è stata scoperta dai ricercatori di Kaspersky. Il bug è presente nella libreria principale del DWM (Desktop Window Manager), un servizio che permette al sistema operativo di sfruttare l’accelerazione hardware per il rendering degli elementi dell’interfaccia utente.
La scoperta è avvenuta per caso. Gli esperti di Kaspersky stavano analizzando un’altra vulnerabilità zero-day della libreria, indicata con CVE-2023-36033. Su VirusTotal hanno trovato un documento che descriveva il bug e spiegava come sfruttarlo per ottenere privilegi SYSTEM. La procedura era la stessa, ma era riferita ad un’altra vulnerabilità.
Dopo aver inviato la segnalazione a Microsoft, i ricercatori hanno monitorato i dati statistici e individuato vari exploit, uno dei quali basato su QBot. Quest’ultimo è nato come trojan bancario nel 2008. Successivamente è diventato un downloader. In pratica viene usato per ottenere l’accesso iniziale alle reti aziendali e scaricare altri malware.
L’infrastruttura era stata smantellata dalle forze dell’ordine ad agosto 2023, ma è stata ricostruita nei mesi successivi. QBot è associato ad almeno 40 attacchi ransomware. Viene utilizzato come vettore di infezione iniziale da molti gruppi, tra cui Black Basta.
Microsoft ha rilasciato anche la patch per una seconda vulnerabilità zero-day (CVE-2024-30040) che può essere sfruttata per eseguire codice arbitrario, se l’utente apre un documento infetto.