Ein Proof-of-Concept (PoC)-Exploit-Code für CVE-2024-49039, eine Zero-Day-Schwachstelle in Windows Task Scheduler, wurde öffentlich veröffentlicht, was die Besorgnis über zunehmende Angriffe schürt. Diese Sicherheitslücke mit einem CVSS-Score von 8.8 ermöglicht es Angreifern, ihre Rechte zu erweitern und Code auf einer höheren Integritätsebene auszuführen.
Details zur Schwachstelle:
CVE-2024-49039 ermöglicht Angreifern die Umgehung von Sicherheitseinschränkungen und die Ausführung von beliebigem Code mit erhöhten Rechten. Diese Schwachstelle befindet sich im Windows Task Scheduler-Dienst, einer wichtigen Komponente, die für die Planung und Automatisierung von Aufgaben zuständig ist. Durch Ausnutzung dieser Schwachstelle können Angreifer in das System eindringen und möglicherweise die vollständige Kontrolle übernehmen.
Ausbeutung in freier Wildbahn:
Die für ihre ausgeklügelten Angriffe bekannte RomCom-Cybercrime-Gruppe wurde dabei beobachtet, wie sie diese Zero-Day-Schwachstelle in jüngsten Kampagnen aktiv ausnutzte, die auf Firefox- und Tor-Browser-Nutzer in Europa und Nordamerika abzielten. Bei diesen Angriffen wird CVE-2024-49039 mit einer anderen Zero-Day-Schwachstelle (CVE-2024-9680) in Firefox gekoppelt, um die Ausführung von Code außerhalb der Sandbox des Browsers zu ermöglichen.
Technische Analyse:
Die Schwachstelle rührt wahrscheinlich von einem Fehler in der WPTaskScheduler.dll Komponente, die seit Windows 10 Version 1507 Bestandteil des Task-Planers ist. Die Analyse deutet darauf hin, dass diese Schwachstelle es Angreifern ermöglicht, Sicherheitsmaßnahmen wie Restricted Token Sandbox und Child-Process-Beschränkungen zu umgehen und ihre Privilegien effektiv auf eine mittlere Integritätsstufe zu heben.
PoC Verfügbarkeit und Auswirkungen:
Die Veröffentlichung des PoC-Codes auf Github erhöht das Risiko noch weiter, da böswilligen Akteuren damit ein leicht verfügbares Tool zur Ausnutzung von CVE-2024-49039 zur Verfügung steht. Diese Situation erfordert sofortiges Handeln von Nutzern und Organisationen, um potenzielle Bedrohungen zu entschärfen.
Milderung:
Microsoft hat diese Sicherheitslücke mit einem am 12. November veröffentlichten Sicherheitsupdate behoben. Den Benutzern wird dringend empfohlen, dieses Update so bald wie möglich zu installieren, um ihre Systeme zu schützen. Darüber hinaus können die Pflege aktualisierter Software und Vorsicht beim Öffnen verdächtiger E-Mails oder beim Klicken auf unbekannte Links dazu beitragen, dass sie nicht Opfer solcher Angriffe werden.
