A Microsoft corrigiu duas vulnerabilidades de dia zero exploradas ativamente durante o Patch Tuesday de abril de 2024, embora a empresa inicialmente não tenha conseguido marcá-las como tal.
O primeiro, rastreado como CVE-2024-26234 e descrito como uma vulnerabilidade de falsificação de driver proxy, foi emitido para rastrear um driver malicioso assinado usando um certificado válido do Microsoft {Hardware} Writer que foi encontrado pelo Sophos X-Ops em dezembro de 2023 e relatado pelo líder da equipe, Christopher Budd.
Este arquivo malicioso foi rotulado como “Catalog Authentication Consumer Service” por “Catalog Thales”, provavelmente uma tentativa de se passar pelo Grupo Thales. No entanto, uma investigação mais aprofundada revelou que ele foi anteriormente fornecido com um software program de advertising chamado LaiXi Android Display screen Mirroring.
Embora a Sophos não tenha conseguido verificar a autenticidade do software program LaiXi, Budd diz estar confiante de que o arquivo é um backdoor malicioso.
“Assim como fizemos em 2022, relatamos imediatamente nossas descobertas ao Centro de Resposta de Segurança da Microsoft. Depois de validar nossa descoberta, a equipe da Microsoft adicionou os arquivos relevantes à sua lista de revogação (atualizada hoje como parte do ciclo regular de Patch Tuesday; consulte CVE-2024-26234),” Budd disse.
As descobertas da Sophos confirmam e baseiam-se em informações compartilhadas em um Relatório de janeiro pela empresa de segurança cibernética Stairwell e um tweet do especialista em engenharia reversa Johann Aydinba.
Desde o seu lançamento hoje cedo, Redmond atualizou o comunicado para corrigir o standing de exploração do CVE-2024-26234, confirmando-o como explorado em estado selvagem e divulgado publicamente.
A Sophos relatou outros drivers maliciosos assinados com certificados WHCP legítimos em Julho de 2023 e Dezembro de 2022mas para esses, a Microsoft publicou segurança avisos em vez de emitir CVE-IDs como hoje.
Bypass MotW explorado em ataques de malware
O segundo dia zero corrigido silenciosamente hoje pela Microsoft é rastreado como CVE-2024-29988 e descrito como uma vulnerabilidade de desvio do recurso de segurança immediate do SmartScreen causada por uma falha no mecanismo de proteção.
CVE-2024-29988 é um desvio para a falha CVE-2024-21412 e foi relatado por Peter Girnus da Iniciativa Zero Day da Development Micro e do Grupo de Análise de Ameaças do Google Dmitrij Lenz e Vlad Stolyarov.
Chefe de conscientização sobre ameaças da ZDI, Dustin Childs marcou-o como usado ativamente em ataques para implantar malware em sistemas Home windows direcionados após evitar a detecção de EDR/NDR e ignorar o recurso Mark of the Net (MotW).
“Esta vulnerabilidade está relacionada ao CVE-2024-21412, que foi descoberto por pesquisadores de ameaças da ZDI e abordado pela primeira vez em fevereiro”, disse Childs ao BleepingComputer.
“O primeiro patch não resolveu completamente a vulnerabilidade. Esta atualização aborda a segunda parte da cadeia de exploração. A Microsoft não indicou que estava corrigindo esta vulnerabilidade, então foi uma surpresa (bem-vinda) quando o patch foi lançado.”
O grupo de hackers Water Hydra com motivação financeira que explora CVE-2024-29988 também usou CVE-2024-21412 como dia zero na véspera de Ano Novo para atingir fóruns de negociação foreign exchange e canais de negociação de ações do Telegram em ataques de spearphishing que implantaram o trojan de acesso remoto (RAT) DarkMe.
O próprio CVE-2024-21412 foi um desvio para outra vulnerabilidade do Defender SmartScreen rastreada como CVE-2023-36025, corrigida durante o Atualização de novembro de 2023, terça-feira e explorado como um dia zero para eliminar o malware Phemedrone.
Hoje, a Microsoft lançou atualizações de segurança para 150 vulnerabilidades como parte do Patch Tuesday de abril de 2024, 67 dos quais eram bugs de execução remota de código.
Um porta-voz da Microsoft não pôde fornecer uma declaração imediatamente quando contatado pelo BleepingComputer hoje cedo.