Microsoft исправила две уязвимости «нулевого дня» в Windows, которые использовались в реальных атаках

CVE-2024-26234: подделка прокси-драйвера

Первая уязвимость, зарегистрированная под идентификатором CVE-2024-26234 и описанная как уязвимость подделки прокси-драйвера, была выявлена при отслеживании злонамеренного драйвера, подписанного с использованием действительного сертификата Microsoft Hardware Publisher, который был обнаружен Sophos X-Ops в декабре 2023 года.

Злонамеренный файл был обозначен как «Служба клиента аутентификации каталога» (Catalog Authentication Client Service) от «Каталога Thales». Вероятно, это попытка выдать себя за группу Thales. Однако дальнейшее расследование показало, что ранее зловред был связан с маркетинговым ПО под названием LaiXi Android Screen Mirroring.

Руководителем группы Sophos X-Ops, Кристофер Бадд заявил:

Так же, как мы делали это в 2022 году, в этот раз мы немедленно сообщили о наших находках в Microsoft Security Response Center. После подтверждения нашей находки, команда Microsoft добавила соответствующие файлы в свой список отзыва (обновленный сегодня в рамках «Вторника Патчей» см. CVE-2024-26234),

Обнаружения Sophos подтверждают и дополняют информацию, представленную в январском отчете компании по кибербезопасности Stairwell и твите эксперта по обратному инжинирингу Йохана Айдинба (Johann Aydinba).

Уже после первичной публикации бюллетеня по безопасности, Редмонд скорректировал статуса эксплуатации CVE-2024-26234, подтверждая, что уязвимость использовалась в реальных атаках и публично раскрыта.

Компания Sophos сообщила о других злонамеренных драйверах, подписанных с использованием законных сертификатов WHCP, в июле 2023 года и декабре 2022 года, но для них Microsoft публиковала советы по безопасности вместо присвоения идентификаторов CVE, как сегодня.

CVE-2024-29988: обход защиты Mark of the Web

Вторая уязвимость «нулевого дня», незаметно исправленная Microsoft, зарегистрирована как CVE-2024-29988, описана как уязвимость обхода функции безопасности запроса SmartScreen и вызвана недостатком механизма защиты.

CVE-2024-29988 является обходом для уязвимости CVE-2024-21412 и была раскрыта Питером Гирнусом (Peter Girnus) из Zero Day Initiative компании Trend Micro и Дмитрием Ленцом и Владом Столяровым из группы анализа угроз Google.

Руководитель отдела осведомленности о угрозах ZDI Дастин Чайлдс (Dustin Childs) отметил, что эта уязвимость активно использовалась в атаках для развертывания вредоносного ПО на целевых системах Windows после обхода обнаружения EDR/NDR и функции Mark of the Web (MotW).

Чайлдс пояснил:

Эта уязвимость связана с CVE-2024-21412, которая была обнаружена исследователями угроз ZDI в реальных атаках и впервые была исправлена в феврале.

Первое исправление не полностью решило проблему. Это обновление устраняет вторую часть цепочки эксплуатации. Microsoft не указала, что они исправляют эту уязвимость, поэтому доступность патча стала приятным сюрпризом.

Коммерческая хакерская группировка Water Hydra, эксплуатирующая CVE-2024-29988, также использовала CVE-2024-21412 как уязвимость «нулевого дня» в канун нового года для атаки на форумы по торговле на Форекс и каналы торговли акциями в Telegram через атаки типа «spearphishing», в результате которых развертывался троян удаленного доступа (RAT) DarkMe.

CVE-2024-21412 представляет собой обход для другой уязвимости Defender SmartScreen, зарегистрированной как CVE-2023-36025, исправленной во «Вторник Патчей» в ноябре 2023 года и эксплуатировавшейся как уязвимость «нулевой дня» для распространения вредоносного ПО Phemedrone.

9 апреля 2024 года в рамках «Вторника Патчей» Microsoft выпустила обновления безопасности для 150 уязвимостей, 67 из которых были ошибками удаленного выполнения кода.