Kaspersky descubre ataques contra una nueva vulnerabilidad en Windows
Kaspersky ha identificado una nueva vulnerabilidad de día cero en Windows, denominada CVE-2024-30051. Este descubrimiento surgió mientras los investigadores analizaban la vulnerabilidad de elevación de privilegios de la biblioteca central DWM de Windows (CVE-2023-36033) a principios de abril de 2024. La vulnerabilidad fue explotada por el troyano bancario QakBot y otros agentes de amenaza.
Un hallazgo inesperado
El 1 de abril de 2024, un documento subido a ‘VirusTotal’ llamó la atención de los investigadores de Kaspersky. El documento sugería una posible vulnerabilidad en Windows. Aunque estaba mal redactado y carecía de detalles sobre cómo activar la vulnerabilidad, describía un proceso de explotación similar al exploit de día cero detectado en 2023. Al principio, los investigadores sospecharon que la vulnerabilidad podría ser ficticia. Sin embargo, tras una rápida comprobación, confirmaron que se trataba de una verdadera vulnerabilidad de día cero que permitía aumentar los privilegios del sistema atacado.
Colaboración con Microsoft
Los investigadores de Kaspersky, Boris Larin y Mert Degirmenci, informaron rápidamente sus hallazgos a Microsoft, que verificó la vulnerabilidad y la asignó como CVE-2024-30051. Tras el informe, Kaspersky comenzó a monitorear exploits y ataques utilizando esta vulnerabilidad previamente desconocida. A mediados de abril, detectaron que la vulnerabilidad había sido explotada junto con el troyano bancario QakBot y otros malware, indicando que varios agentes de amenazas tenían acceso a la vulnerabilidad.
La importancia de la vigilancia en ciberseguridad
Boris Larin comentó: ‘El documento sobre VirusTotal nos pareció interesante debido a su naturaleza descriptiva y decidimos investigar más a fondo, lo que nos llevó a descubrir esta vulnerabilidad crítica de día cero. La velocidad con que los agentes de amenazas están integrando este exploit en su arsenal subraya la importancia de las actualizaciones oportunas y la vigilancia en materia de ciberseguridad’.
Kaspersky publicará más detalles técnicos de CVE-2024-30051 una vez que haya pasado el tiempo suficiente para que la mayoría de los usuarios actualicen sus sistemas Windows. La empresa agradeció a Microsoft por su rápida revisión y publicación de parches.
Actualizaciones y protección
Los productos de Kaspersky se han actualizado para detectar los exploits y ataques que utilizan la CVE-2024-30051 con los siguientes veredictos:
- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generic
- UDS:DangerousObject.Multi.Generic
- Trojan.Win32.Agent.gen
- Trojan.Win32.CobaltStrike.gen
QakBot: una amenaza persistente
En cuanto a QakBot, Kaspersky ha estado rastreando este sofisticado troyano bancario desde su descubrimiento en 2007. Originalmente diseñado para el robo de credenciales bancarias, QakBot ha evolucionado significativamente, adquiriendo nuevas funcionalidades como el robo de correo electrónico, el registro de teclas y la capacidad de difundir e instalar ransomware. El malware es conocido por sus frecuentes actualizaciones y mejoras, lo que lo convierte en una amenaza persistente en el panorama de la ciberseguridad. En los últimos años, se ha observado que QakBot aprovecha otras botnets como Emotet para su distribución.
Recomendaciones para usuarios y empresas
Dado el riesgo que representa esta nueva vulnerabilidad, Kaspersky recomienda a los usuarios y empresas actualizar sus sistemas Windows lo antes posible. Además, es crucial mantener actualizados los programas de seguridad y estar atentos a las alertas de posibles amenazas. La detección temprana y la respuesta rápida son esenciales para proteger los sistemas y la información sensible contra ataques cibernéticos.
Kaspersky continúa su compromiso con la investigación y la identificación de nuevas amenazas, proporcionando soluciones de seguridad efectivas para proteger a sus usuarios. La detección de la vulnerabilidad CVE-2024-30051 y la colaboración con Microsoft demuestran la importancia de la cooperación en la lucha contra el cibercrimen y la protección de la infraestructura digital global.