Microsoft が FIX した脆弱性 CVE-2024-30051:QakBot のマルウェア配信で悪用

Microsoft fixes Windows zero-day exploited in QakBot malware attacks

2024/05/14 BleepingComputer — Microsoft が修正したゼロデイ脆弱性は、影響を受ける Windows システム上で、 QakBot などのマルウェア・ペイロードを配信する攻撃で、悪用される可能性のあるものだ。この特権昇格の脆弱性 CVE-2024-30051 は、DWM (Desktop Window Manager) コア・ライブラリのヒープバッファ・オーバーフローが起因するものであり、悪用に成功した攻撃者に、SYSTEM 権限の取得を許すものである。

Desktop Window Manager とは、Windows Vista で導入された Windows サービスで、ガラス・ウィンドウのフレームや、3D トランジション・アニメーションなどの GUI 要素をレンダリングする際に、OS によるハードウェア・アクセラレーションの使用を可能にするものだ。


Kaspersky のセキュリティ研究者が、別のゼロデイ攻撃で悪用されている Windows DWM コア・ライブラリの、特権昇格の脆弱性 CVE-2023-36033 を調査している最中に、この脆弱性が発見された。

彼らは、「最近のエクスプロイトと関連する攻撃のデータを調べていたところ、2024年4月1日に VirusTotal にアップロードされた、興味深いファイルに行き当たった。そのファイル名は、Windows の脆弱性に関する詳細を含んでいることを示唆していた」と述べている。

彼らが発見したように、このファイルは Windows Desktop Window Manager (DWM) の脆弱性に関する情報を提供しており、この脆弱性を悪用して SYSTEM に特権を昇格させることが可能だった。

このドキュメントは品質が不十分であり、脆弱性の悪用方法についても省略があったが、Windows DWM コア・ライブラリに新たなゼロデイ特権昇格の脆弱性が存在することを、Kaspersky は確認した。そして、Microsoft は CVE-2024-30051 という CVE ID を割り当て、今月の Patch Tuesday で、この脆弱性にパッチを適用した。

CVE-2024-30051 tweet


Kaspersky は、「Microsoft に調査結果を送った後に、このゼロデイ脆弱性を悪用する攻撃やエクスプロイトを探すために、統計情報を注意深く監視し始めた。そして、4月中旬に、このゼロデイ脆弱性のエクスプロイトを発見した。私たちは、この脆弱性が、QakBot などのマルウェア配信で悪用されているのを確認しており、複数の脅威アクターによるアクセスが発生していると捉えている」と述べている。

Google Threat Analysis Group/DBAPPSecurity WeBin Lab/Google Mandiant のセキュリティ研究者たちも、このゼロデイ脆弱性について Microsoft に報告しており、マルウェア攻撃で悪用されている可能性が高いと指摘している。

QakBot (Qbot) は、2008年にバンキング・トロイの木馬として始まり、銀行の認証情報/Web ウェブサイトのクッキー/クレジットカードを盗み出し、金融詐欺を行うために悪用してきた。やがて QakBot は、マルウェア配信サービスへと進化し、他の脅威グループと提携することで、ランサムウェア攻撃/スパイ活動/データ窃盗のために、企業や家庭のネットワークへのイニシャル・アクセスを提供するようになった。

2023年8月の時点で、FBI が主導する “Operation Duck Hunt” という多国籍の法執行活動により、そのインフラは解体されたが、2023年12月に、ホスピタリティ業界を標的としたフィッシング・キャンペーンで再登場している。

法執行機関は、世界中の企業/医療提供者/政府機関を標的とする、少なくとも 40件のランサムウェア攻撃と QakBot を関連付け、控えめに見積もっても数億ドルの損害をもたらしたとしている。

長年にわたり Qakbot は、Conti/ProLock/Egregor/Revil/RansomExx/MegaCortex などのランサムウェアと連携し、そして最近では Black Basta などと連携し、初期感染ベクターとして機能してきた。

CISA KEV:Microsoft DWM Core Library Privilege Escalation Vulnerability

この脆弱性 CVE-2024-30051 は、2024年5月の Patch Tuesday で修正されたものですが、QakBot 配信などで悪用されていることから、BleepingComputer は別記事として取り上げているようです。文中にもあるように、この脆弱性の発見は Kaspersky によるものであり、同社の粘り強さには頭が下がります。よろしければ、QBot で検索も、ご利用ください。