CVE-2024-30051: новый вектор атаки на Windows через DirectComposition

Китайские исследователи безопасности недавно обнаружили реальные атаки с использованием уязвимости CVE-2024-30051 (оценка по шкале CVSS: 7.8), которая использовалась в кибератаках, связанных с QakBot, известным банковским трояном. Уязвимость была впервые замечена специалистами «Лаборатории Касперского» в апреле 2024 года. Брешь связана с библиотекой «dwmcore.dll», которая отвечает за процесс Desktop Window Manager в Windows.

Эксплуатируя данную уязвимость, злоумышленники могут контролировать процесс выделения памяти, что приводит к переполнению буфера и позволяет записывать данные за пределами выделенной области. Это открывает путь к выполнению произвольного кода на целевом компьютере.

Злоумышленники использовали уязвимость в системе DirectComposition, которая отвечает за управление визуальными элементами в Windows. Они отправляли специальные команды через уязвимые функции, что нарушало нормальную работу системы. Это давало возможность изменять системные процессы и получать повышенные права доступа.

Примечательно, что для эксплуатации уязвимости использовалась сложная техника манипуляции с памятью, включающая создание специальных объектов, таких как CHolographicInteropTextureMarshaler. В ходе атаки злоумышленники внедряли вредоносный код в эти объекты и контролировали выполнение команд на уровне системы.

После успешной эксплуатации уязвимости, атакующие загружали вредоносные библиотеки, что позволяло им выполнять произвольные команды и запускать программы с повышенными привилегиями. На определённом этапе, злоумышленники даже использовали уязвимость для взаимодействия с процессом UAC (User Account Control) в Windows, что дало им доступ к системным функциям и позволило обойти стандартные механизмы безопасности.

Исследователи отмечают, что подобные техники эксплуатации уязвимостей свидетельствуют о высокой подготовке разработчиков вредоносного ПО. В частности, эксперты предполагают, что у QakBot есть ресурсы для приобретения и использования 0day-уязвимостей, что подтверждает его активную и долгосрочную деятельность в сфере кибератак.

По оценкам специалистов, в будущем можно ожидать рост числа подобных атак, особенно со стороны финансово обеспеченных группировок, которые используют современные уязвимости для атак на крупные организации.