Microsoft a reparat două vulnerabilități zero-day exploatate activ în timpul Patch Tuesday din aprilie 2024, deși compania nu le-a etichetat inițial ca atare.
Prima vulnerabilitate, denumită CVE-2024-26234 și descrisă ca o vulnerabilitate de spoofing a driver-ului proxy, a fost emisă pentru a urmări un driver malign semnat folosind un certificat valid al Microsoft Hardware Publisher, descoperit de Sophos X-Ops în decembrie 2023 și raportat de liderul echipei, Christopher Budd.
Acest fișier malign a fost denumit „Serviciul de Autentificare a Catalogului Client” de „Catalog Thales”, probabil o încercare de a se da drept Grupul Thales. Cu toate acestea, o investigație ulterioară a relevat că a fost anterior inclus într-un software de marketing numit LaiXi Android Screen Mirroring.
În timp ce Sophos nu a putut verifica autenticitatea software-ului LaiXi, Budd spune că sunt siguri că fișierul reprezintă o ușă din spate malignă.
„La fel cum am făcut în 2022, am raportat imediat descoperirile noastre la Microsoft Security Response Center. După validarea descoperirii noastre, echipa Microsoft a adăugat fișierele relevante la lista sa de revocare (actualizată astăzi ca parte a ciclului obișnuit Patch Tuesday; a se vedea CVE-2024-26234),” a spus Budd.
Descoperirile Sophos confirmă și completează informațiile distribuite într-un raport din ianuarie de către compania de securitate cibernetică Stairwell și un tweet al expertului în reverse engineering, Johann Aydinba.
De la lansarea sa mai devreme astăzi, Redmond a actualizat avertizarea pentru a corecta statutul de exploatare al CVE-2024-26234, confirmând că a fost exploatat în sălbăticie și făcut public.
Sophos a raportat alți drivere maligni semnați cu certificate WHCP legitime în iulie 2023 și decembrie 2022, însă pentru acelea, Microsoft a publicat avertismente de securitate în loc să emită CVE-ID-uri ca azi.
Al doilea zero-day reparat în tăcere astăzi de Microsoft este denumit CVE-2024-29988 și descris ca o vulnerabilitate de bypass a funcției de securitate a prompt-ului SmartScreen cauzată de o slăbiciune a mecanismului de protecție.
CVE-2024-29988 este un bypass pentru defectul CVE-2024-21412 și a fost raportat de Peter Girnus de la Trend Micro’s Zero Day Initiative și de Dmitrij Lenz și Vlad Stolyarov de la Google’s Threat Analysis Group.
Șeful de conștientizare a amenințărilor de la ZDI, Dustin Childs, l-a etichetat ca fiind activ folosit în atacuri pentru a implementa malware pe sistemele Windows vizate după ce a evitat detectarea EDR/NDR și a trecut peste funcția Mark of the Web (MotW).
„Această vulnerabilitate este legată de CVE-2024-21412, descoperită de cercetătorii de amenințări ZDI în sălbăticie și adresată inițial în februarie,” a declarat Childs pentru BleepingComputer.
„Prima actualizare nu a rezolvat complet vulnerabilitatea. Această actualizare abordează a doua parte a lanțului de exploatare. Microsoft nu a indicat că va repara această vulnerabilitate, așa că a fost o surpriză (binevenită) când actualizarea a devenit disponibilă.”
Grupul de hacking Water Hydra motivat financiar care exploatează CVE-2024-29988 a folosit de asemenea CVE-2024-21412 ca zero-day în Ajunul Anului Nou pentru a viza forumurile de tranzacționare forex și canalele de tranzacționare a acțiunilor în atacuri de spearphishing care au implementat trojanul de acces la distanță DarkMe.
CVE-2024-21412 a fost la rândul său un bypass pentru o altă vulnerabilitate Defender SmartScreen urmărită ca CVE-2023-36025, reparată în timpul Patch Tuesday din noiembrie 2023 și exploatată ca zero-day pentru a distribui malware-ul Phemedrone.
Astăzi, Microsoft a lansat actualizări de securitate pentru 150 de vulnerabilități ca parte a Patch Tuesday din aprilie 2024, 67 dintre acestea fiind bug-uri de execuție de cod la distanță.
Un purtător de cuvânt al Microsoft nu a putut furniza imediat o declarație atunci când a fost contactat de BleepingComputer mai devreme astăzi.
Hackerii au folosit un nou zero-day Windows Defender pentru a distribui malware-ul DarkMe
Microsoft Patch Tuesday din februarie 2024 repară 2 zero-day-uri, 73 de vulnerabilități
Defect critic de execuție de cod la distanță în 92.000 de dispozitive NAS D-Link acum exploatat în atacuri
Actualizările recente pentru Windows strică livrarea Microsoft Connected Cache
Microsoft repară problema Windows Sysprep din spatele erorilor 0x80073cf2
Leave a Reply