Ein Proof-of-Concept (PoC)-Exploit-Code für CVE-2024-49039, eine Zero-Day-Schwachstelle in Windows Task Scheduler, wurde öffentlich veröffentlicht, was die Besorgnis über zunehmende Angriffe schürt. Diese Sicherheitslücke mit einem CVSS-Score von 8.8 ermöglicht es Angreifern, ihre Rechte zu erweitern und Code auf einer höheren Integritätsebene auszuführen.
Details zur Schwachstelle:
CVE-2024-49039 ermöglicht Angreifern die Umgehung von Sicherheitseinschränkungen und die Ausführung von beliebigem Code mit erhöhten Rechten. Diese Schwachstelle befindet sich im Windows Task Scheduler-Dienst, einer wichtigen Komponente, die für die Planung und Automatisierung von Aufgaben zuständig ist. Durch Ausnutzung dieser Schwachstelle können Angreifer in das System eindringen und möglicherweise die vollständige Kontrolle übernehmen.
Ezoic
Ausbeutung in freier Wildbahn:
Die für ihre ausgeklügelten Angriffe bekannte RomCom-Cybercrime-Gruppe wurde dabei beobachtet, wie sie diese Zero-Day-Schwachstelle in jüngsten Kampagnen aktiv ausnutzte, die auf Firefox- und Tor-Browser-Nutzer in Europa und Nordamerika abzielten. Bei diesen Angriffen wird CVE-2024-49039 mit einer anderen Zero-Day-Schwachstelle (CVE-2024-9680) in Firefox gekoppelt, um die Ausführung von Code außerhalb der Sandbox des Browsers zu ermöglichen.
Technische Analyse:
The vulnerability likely stems from a flaw in the WPTaskScheduler.dll component, which is integral to Task Scheduler since Windows 10 version 1507. Analysis suggests that this vulnerability allows attackers to bypass security measures like Restricted Token Sandbox and child-process restrictions, effectively elevating their privileges to a Medium Integrity level.
PoC Verfügbarkeit und Auswirkungen:
The release of PoC code on Github further amplifies the risk, as it provides malicious actors with a readily available tool to exploit CVE-2024-49039. This situation necessitates immediate action from users and organizations to mitigate potential threats.
Milderung:
Microsoft addressed this vulnerability with a security update released on November 12th. Users are strongly urged to apply this update as soon as possible to protect their systems. Additionally, maintaining updated software and exercising caution when opening suspicious emails or clicking on unknown links can help prevent falling victim to such attacks.
