Microsoft ha corregido dos vulnerabilidades zero-day que estaban siendo activamente explotadas durante el martes de parches de abril de 2024, aunque inicialmente la compañía no las identificó como tal.
La primera, identificada como CVE-2024-26234 y descrita como una vulnerabilidad de suplantación de controlador de proxy, fue emitida para rastrear un controlador malicioso firmado con un Certificado de Editor de Hardware de Microsoft válido, descubierto por Sophos X-Ops en diciembre de 2023 y reportado por el líder del equipo Christopher Budd.
Este archivo malicioso fue etiquetado como “Servicio de Autenticación de Catálogo del Cliente” por “Catalog Thales“, probablemente en un intento de suplantar a Thales Group.
Sin embargo, una investigación adicional reveló que anteriormente estaba incluido en un software de marketing llamado LaiXi Android Screen Mirroring.
Aunque Sophos no pudo verificar la autenticidad del software LaiXi, Budd afirmó que tienen la certeza de que el archivo es una puerta trasera maliciosa.
“Al igual que hicimos en 2022, informamos de inmediato nuestros hallazgos al Centro de Respuesta de Seguridad de Microsoft. Después de validar nuestro descubrimiento, el equipo de Microsoft ha agregado los archivos relevantes a su lista de revocación (actualizada hoy como parte del ciclo habitual de Martes de Parches; ver CVE-2024-26234)“, dijo Budd.
Los hallazgos de Sophos confirman y amplían la información compartida en un informe de enero por la empresa de ciberseguridad Stairwell y un tuit del experto en ingeniería inversa Johann Aydinba.
3proxy wrapper binary signed by Microsoft
— Johann Aydinbas (@jaydinbas) January 2, 2024
CN lang PE resources, typos and incorrect VMProtect usage
C2: catalog.micrisoftdrivers[.]com
(simple len+plain JSON proto on 443)
Possibly referencing Thales Group, the defense contractor?
Happy new year! 🥳https://t.co/qM2DC9GeZ0 pic.twitter.com/hyOhx1NkY4
Desde su publicación, Microsoft ha actualizado el aviso para corregir el estado de explotación de CVE-2024-26234, confirmando que ha sido explotado en el mundo real y divulgado públicamente.
Sophos informó sobre otros controladores maliciosos firmados con certificados WHCP legítimos en julio de 2023 y diciembre de 2022, pero para esos casos, Microsoft publicó avisos de seguridad en lugar de emitir identificadores CVE como hoy.
Bypass de "Mark of the Web" explotado en ataques de malware
El segundo zero-day abordado por Microsoft hoy, conocido como CVE-2024-29988, se caracteriza como una vulnerabilidad de bypass de la función de seguridad de la ventana de SmartScreen, causada por una debilidad en el mecanismo de protección.
Este fallo, identificado como un bypass para CVE-2024-21412, fue reportado por Peter Girnus de la Iniciativa de Día Cero de Trend Micro, y Dmitrij Lenz y Vlad Stolyarov del Grupo de Análisis de Amenazas de Google.
Dustin Childs, Jefe de Conciencia de Amenazas de ZDI, destacó que CVE-2024-29988 está siendo activamente utilizado en ataques para distribuir malware en sistemas Windows específicos, tras sortear la detección EDR/NDR y eludir la función de la Marca de la Web (MotW).
Childs explicó: “Esta vulnerabilidad está relacionada con CVE-2024-21412, que fue descubierta por investigadores de amenazas de ZDI en el mundo real y abordada por primera vez en febrero. El primer parche no resolvió completamente la vulnerabilidad. Esta actualización aborda la segunda parte de la cadena de exploits. Microsoft no indicó que estaban parcheando esta vulnerabilidad, así que fue una sorpresa (bienvenida) cuando el parche se activó“.
El grupo de piratería financiera Water Hydra, conocido por explotar CVE-2024-29988, también utilizó CVE-2024-21412 como un zero-day en el fin de año para atacar foros de comercio de divisas y canales de Telegram de comercio de valores en ataques de spearphishing que desplegaron el troyano de acceso remoto DarkMe.
El parche para CVE-2024-21412 fue lanzado durante el Martes de Parches de noviembre de 2023, mientras que CVE-2023-36025, otra vulnerabilidad de SmartScreen de Defender, fue parcheada y explotada como un zero-day para distribuir el malware Phemedrone.
En total, Microsoft lanzó actualizaciones de seguridad para 150 vulnerabilidades como parte del Martes de Parches de abril de 2024, incluyendo 67 errores de ejecución remota de código.
