A Microsoft acaba de corrigir duas vulnerabilidades de zero dia exploradas ativamente durante o Patch Tuesday de abril de 2024. Inicialmente, a empresa não conseguiu marcar as vulnerabilidades de dia zero, mas as corrigiu como tal.
Microsoft corrige vulnerabilidades do Windows explorados em ataques de malware
A primeira vulnerabilidade, agora corrigida, foi rastreada como CVE-2024-26234 e descrita como uma vulnerabilidade de falsificação de driver proxy, foi emitida para rastrear um driver malicioso assinado usando um Microsoft Hardware Publisher Certificate válido que foi encontrado pela Sophos X-Ops em dezembro de 2023.
Este arquivo malicioso foi rotulado como “Catalog Authentication Client Service” por “Catalog Thales”, provavelmente uma tentativa de se passar pelo Grupo Thales. No entanto, uma investigação mais aprofundada revelou que ele foi anteriormente fornecido com um software de marketing chamado LaiXi Android Screen Mirroring. Embora a Sophos não tenha conseguido verificar a autenticidade do software LaiXi, Budd diz estar confiante de que o arquivo é um backdoor malicioso.
Assim como fizemos em 2022, relatamos imediatamente nossas descobertas ao Centro de Resposta de Segurança da Microsoft. Depois de validar nossa descoberta, a equipe da Microsoft adicionou os arquivos relevantes à sua lista de revogação (atualizada hoje como parte do ciclo normal de Patch Tuesday; consulte CVE-2024-26234).
Budd
As descobertas da Sophos confirmam e baseiam-se em informações compartilhadas em um relatório de janeiro da empresa de segurança cibernética Stairwell e em um tweet do especialista em engenharia reversa Johann Aydinba. Desde o seu lançamento hoje cedo, Redmond atualizou o comunicado para corrigir o status de exploração do CVE-2024-26234, confirmando-o como explorado em estado selvagem e divulgado publicamente.
A Sophos relatou outros drivers maliciosos assinados com certificados WHCP legítimos em julho de 2023 e dezembro de 2022, mas para eles, a Microsoft publicou avisos de segurança em vez de emitir IDs CVE como hoje.
Bypass MotW explorado em ataques de malware
O segundo zero dia corrigido silenciosamente hoje pela Microsoft é rastreado como CVE-2024-29988 e descrito como uma vulnerabilidade de desvio do recurso de segurança prompt do SmartScreen causada por uma falha de falha no mecanismo de proteção. A CVE-2024-29988 é um desvio para a falha CVE-2024-21412 e foi relatado por Peter Girnus da Iniciativa Zero Day da Trend Micro e do Grupo de Análise de Ameaças do Google Dmitrij Lenz e Vlad Stolyarov.
O chefe de conscientização sobre ameaças da ZDI, Dustin Childs, classificou-o como usado ativamente em ataques para implantar malware em sistemas Windows direcionados após escapar da detecção de EDR/NDR e ignorar o recurso Mark of the Web (MotW).
“Esta vulnerabilidade está relacionada ao CVE-2024-21412, que foi descoberto por pesquisadores de ameaças da ZDI e abordado pela primeira vez em fevereiro”, disse Childs ao BleepingComputer.
O primeiro patch não resolveu completamente a vulnerabilidade. Esta atualização aborda a segunda parte da cadeia de exploração. A Microsoft não indicou que estava corrigindo esta vulnerabilidade, então foi uma surpresa (bem-vinda) quando o patch foi lançado.
O grupo de hackers Water Hydra com motivação financeira que explora CVE-2024-29988 também usou CVE-2024-21412 como zero dia na véspera de Ano Novo para atingir fóruns de negociação forex e canais de negociação de ações do Telegram em ataques de spearphishing que implantaram o trojan de acesso remoto DarkMe (RATO).
O próprio CVE-2024-21412 foi um desvio para outra vulnerabilidade do Defender SmartScreen rastreada como CVE-2023-36025, corrigida durante o Patch Tuesday de novembro de 2023 e explorada como um dia zero para eliminar o malware Phemedrone.
Agora, a Microsoft lançou atualizações de segurança para 150 vulnerabilidades como parte do Patch Tuesday de abril de 2024, 67 das quais eram bugs de execução remota de código.