Kaspersky a identifié une nouvelle vulnérabilité Zero Day dans Windows, appelée CVE-2024-30051. Cette découverte est apparue alors que les chercheurs analysaient la vulnérabilité d’élévation de privilèges de la bibliothèque principale Windows DWM (CVE-2023-36033) début avril 2024. La vulnérabilité a été exploitée par le cheval de Troie bancaire QakBot et d’autres acteurs malveillants.
Une trouvaille inattendue
Le 1er avril 2024, un document téléchargé sur « VirusTotal » a attiré l’attention des chercheurs de Kaspersky. Le document suggérait une possible vulnérabilité dans Windows. Bien qu’il soit mal rédigé et manquait de détails sur la manière d’activer la vulnérabilité, il décrivait un processus d’exploitation similaire à l’exploit zero-day détecté en 2023. Au début, les chercheurs soupçonnaient que la vulnérabilité pourrait être fictive. Cependant, après une vérification rapide, ils ont confirmé qu’il s’agissait d’une véritable vulnérabilité zero-day qui permettait d’augmenter les privilèges du système attaqué.
Collaboration avec Microsoft
Les chercheurs de Kaspersky, Boris Larine et Mert Degirmenciils ont rapidement fait part de leurs découvertes à Microsoft, qui a vérifié la vulnérabilité et lui a attribué le numéro CVE-2024-30051. Après le rapport, Kaspersky a commencé à surveiller les exploits et les attaques en utilisant cette vulnérabilité jusqu’alors inconnue. À la mi-avril, ils ont détecté que la vulnérabilité avait été exploitée aux côtés du cheval de Troie bancaire QakBot et d’autres logiciels malveillants, indiquant que plusieurs acteurs malveillants avaient accès à la vulnérabilité.
L’importance de la surveillance de la cybersécurité
Boris Larine a commenté : « Nous avons trouvé le document VirusTotal intéressant en raison de sa nature descriptive et avons décidé d’approfondir nos recherches, ce qui nous a amené à découvrir cette vulnérabilité critique du jour zéro. La rapidité avec laquelle les acteurs de la menace intègrent cet exploit dans leur arsenal souligne l’importance des mises à jour opportunes et de la vigilance en matière de cybersécurité.
Kaspersky publiera plus de détails techniques sur CVE-2024-30051 une fois que suffisamment de temps se sera écoulé pour que la plupart des utilisateurs puissent mettre à jour leurs systèmes Windows. L’entreprise a remercié Microsoft pour votre examen rapide et la publication du correctif.
Mises à jour et protection
Les produits de Kaspersky ont été mis à jour pour détecter les exploits et les attaques utilisant CVE-2024-30051 avec les verdicts suivants :
- PDM :Exploit.Win32.Generic
- PDM : Trojan.Win32.Generic
- UDS : DangerousObject.Multi.Generic
- Cheval de Troie.Win32.Agent.gen
- Cheval de Troie.Win32.CobaltStrike.gen
QakBot : une menace persistante
Quant à QakBot, Kaspersky suit ce cheval de Troie bancaire sophistiqué depuis sa découverte en 2007. Conçu à l’origine pour le vol d’identifiants bancaires, QakBot a considérablement évolué, acquérant de nouvelles fonctionnalités telles que le vol d’e-mails, l’enregistrement de frappe et la possibilité de propager et d’installer des ransomwares. Les logiciels malveillants sont connus pour leurs mises à jour et améliorations fréquentes, ce qui en fait une menace persistante dans le paysage de la cybersécurité. Ces dernières années, QakBot a été observé en train d’exploiter d’autres botnets tels qu’Emotet pour sa distribution.
Recommandations pour les utilisateurs et les entreprises
Compte tenu du risque que représente cette nouvelle vulnérabilité, Kaspersky recommande aux utilisateurs et aux entreprises de mettre à jour leurs systèmes Windows dès que possible. De plus, il est crucial de maintenir à jour les programmes de sécurité et d’être attentif aux alertes de menaces possibles. Une détection précoce et une réponse rapide sont essentielles pour protéger les systèmes et informations sensibles contre les cyberattaques.
Kaspersky poursuit son engagement dans la recherche et l’identification de nouvelles menaces, en fournissant des solutions de sécurité efficaces pour protéger ses utilisateurs. La détection de la vulnérabilité CVE-2024-30051 et la collaboration avec Microsoft Ils démontrent l’importance de la coopération dans la lutte contre la cybercriminalité et la protection des infrastructures numériques mondiales.
