Microsoft soluciona dos vulnerabilidades de día cero explotadas en ataques de malware

Microsoft ha solucionado dos vulnerabilidades de día cero activamente explotadas durante el Patch Tuesday de abril de 2024, aunque inicialmente la compañía no las etiquetó como tales.

La primera, identificada como CVE-2024-26234 y descrita como una vulnerabilidad de suplantación de controlador proxy, se emitió para rastrear un controlador malicioso firmado con un Certificado Válido de Editor de Hardware de Microsoft, que fue descubierto por Sophos X-Ops en diciembre de 2023 y reportado por el líder del equipo, Christopher Budd.

Este archivo malicioso fue etiquetado como “Servicio de Cliente de Autenticación de Catálogo” por “Catalog Thales”, probablemente un intento de suplantar al Grupo Thales. Sin embargo, investigaciones posteriores revelaron que anteriormente estaba empaquetado con un software de marketing llamado LaiXi Android Screen Mirroring.

Aunque Sophos no pudo verificar la autenticidad del software LaiXi, Budd dice que están seguros de que el archivo es una puerta trasera maliciosa.

“Tal como hicimos en 2022, informamos inmediatamente nuestros hallazgos al Centro de Respuesta de Seguridad de Microsoft. Después de validar nuestro descubrimiento, el equipo de Microsoft ha añadido los archivos relevantes a su lista de revocación (actualizada hoy como parte del ciclo habitual de Patch Tuesday; ver CVE-2024-26234)”, dijo Budd.

Los hallazgos de Sophos confirman y se basan en la información compartida en un informe de enero por la empresa de ciberseguridad Stairwell y un tweet del experto en ingeniería inversa Johann Aydinba.

Desde su lanzamiento hoy, Redmond ha actualizado el aviso para corregir el estado de explotación de CVE-2024-26234, confirmando que fue explotado en el ambiente y divulgado públicamente.

Bypass de MotW explotado en ataques de malware
La segunda vulnerabilidad de día cero silenciosamente parcheada hoy por Microsoft se rastrea como CVE-2024-29988 y se describe como una vulnerabilidad de omisión de la característica de seguridad del aviso de SmartScreen causada por una debilidad en el mecanismo de protección.

CVE-2024-29988 es un bypass para la falla CVE-2024-21412 y fue reportada por Peter Girnus de la Iniciativa de Día Cero de Trend Micro y el Grupo de Análisis de Amenazas de Google, Dmitrij Lenz y Vlad Stolyarov.

Dustin Childs, jefe de concienciación sobre amenazas de ZDI, lo etiquetó como activamente utilizado en ataques para desplegar malware en sistemas Windows objetivo después de evadir la detección de EDR/NDR y eludir la característica Mark of the Web (MotW).

“Esta vulnerabilidad está relacionada con CVE-2024-21412, que fue descubierta por investigadores de amenazas de ZDI en el ambiente y abordada por primera vez en febrero”, dijo Childs a BleepingComputer.

“El primer parche no resolvió completamente la vulnerabilidad. Esta actualización aborda la segunda parte de la cadena de explotación. Microsoft no indicó que estaban parcheando esta vulnerabilidad, por lo que fue una sorpresa (bienvenida) cuando el parche se publicó en vivo”.

El grupo de hacking Water Hydra, motivado financieramente y que explota CVE-2024-29988, también utilizó CVE-2024-21412 como un día cero en Nochevieja para atacar foros de trading de forex y canales de Telegram de trading de acciones en ataques de spearphishing que desplegaron el troyano de acceso remoto (RAT) DarkMe.

CVE-2024-21412 fue a su vez un bypass para otra vulnerabilidad de Defender SmartScreen rastreada como CVE-2023-36025, parcheada durante el Patch Tuesday de noviembre de 2023 y explotada como un día cero para desplegar el malware Phemedrone.