【安全资讯】CVE-2024-30051：Windows权限提升漏洞被QakBot恶意软件利用，PoC已发布

概要：

近日，安全研究人员公布了一个Windows零日漏洞（CVE-2024-30051）的技术细节和概念验证（PoC）代码。该漏洞允许攻击者将权限提升至SYSTEM级别，具有极高的危害性。漏洞的存在使得恶意软件如QakBot能够更轻易地部署和执行，给系统安全带来严重威胁。

主要内容：

CVE-2024-30051漏洞是由Kaspersky研究人员发现的，存在于Desktop Window Manager（DWM）核心库中的堆缓冲区溢出问题。该漏洞评分为CVSS 7.8，主要由于dwmcore.dll库中的CCommandBuffer::Initialize方法中的大小计算错误引起。攻击者可以通过本地用户触发堆溢出，从而执行任意代码并获得SYSTEM级别的权限。

攻击者可以制作一个DLL并将其加载到DWM进程中，该进程将以提升的权限运行，使攻击者能够控制系统。CVE-2024-30051漏洞影响多个Windows版本，概念验证（PoC）代码已在GitHub上公开，增加了及时修补的紧迫性。利用该漏洞的攻击步骤包括在DWM进程中进行堆喷射，通过释放特定部分的堆触发dwmcore.dll中的堆溢出，最终执行攻击者的代码。

在实际攻击中，该漏洞已被用于传播QakBot恶意软件，QakBot常用于凭证盗窃和勒索软件分发。权限提升使得该漏洞特别危险，因为它允许攻击者绕过许多安全控制，完全掌控受感染系统。微软已在2024年5月的Patch Tuesday更新中修补了CVE-2024-30051漏洞，强烈建议用户和系统管理员立即应用此补丁以防止被利用。

鉴于PoC代码的公开，未打补丁的系统面临更高的攻击风险。除了应用补丁外，组织应监控网络中的任何可疑活动，并更新杀毒工具和终端检测解决方案，以识别与该漏洞相关的妥协指标。