Поделиться
Microsoft исправила две уязвимости нулевого дня, которые отказывалась считать таковыми
В рамках апрельского кумулятивного патча Microsoft исправила сразу 150 уязвимостей. Среди них - уже третья попытка исправить старый недочет в защите системы. Каждой его итерацией пользовались хакеры.
Поддельный драйвер
Microsoft в рамках апрельского кумулятивного патча выпустила исправления для сразу двух уязвимостей нулевого дня, которые уже подвергались активной эксплуатации хакерами.
Первая из этих уязвимостей - CVE-2024-26234 - это вредоносный драйвер, подписанный действующим сертификатом Microsoft Hardware Publisher Certificate; его обнаружили члены группы Sophos X-Ops в декабре 2023 г.
Вредоносный файл был обозначен как Catalog Authentication Client Service («клиентская служба аутентификации каталогов»), созданный неким Catalog Thales - вероятно, истинные создатели вредоносного драйвера пытались выдать себя за Thales Group, французского производителя электрического оборудования для транспортного, оборонного и аэрокосмического секторов.
Дальнейшее расследование, впрочем, выявило, что этот же файл ранее входил в состав маркетингового программного обеспечения (ПО) LaiXi Android Screen Mirroring. В Sophos убеждены, что это бэкдор.
В январе этот же файл изучали эксперт по кибербезопасности Йоханн Айдинбас (Johann Aydinbas) и сотрудники компании Stairwell, которые также пришли к выводу о вредоносной природе этого файла.
Самое печальное, что файл был, однако, подписан легитимным сертификатом безопасности, выпущенным Microsoft. Каким образом авторам бэкдора удалось этого добиться, вопрос открытый.
Ещё один рывок, ещё одна попытка
Вторая уязвимость нулевого дня - CVE-2024-29988 - обеспечивает возможность обхода системы безопасности SmartScreen и его уведомлений.
Фактически речь идет о не до конца исправленной ошибке CVE-2024-21412, которую обнаружили эксперты Trend Micro Zero Day Initiative и Google Threat Analysis Group. Microsoft выпускала к ней патч, но, как оказалось, он был неполным и неэффективным.
И CVE-2024-29988, и CVE-2024-21412 активно эксплуатировала хакерская группировка Water Hydra - и не только она. Уязвимости использовались для обхода средств обнаружения вредоносных программ системами EDR/NDR и функции Mark of the Web с последующей установкой вредоносных программ на конечные устройства.
Используя CVE-2024-21412, Water Hydra в канун Нового Года атаковала ряд трейдинговых форумов и каналов в Telegram, в результате чего их участникам устанавливался троянец удалённого доступа DarkMe.
Как отмечает издание Bleeping Computer, уязвимость CVE-2024-21412 сама по себе представляла возможность обходить более ранний патч для Defener SmartScreen, относившийся к «багу» CVE-2023-36025. Его киберзлоумышленники использовали для распространения вредоноса Phemedrone.
«Таким образом, речь идёт об уже третьей по счёту попытке исправить каскад уязвимостей в SmartScreen, и история тянется с конца прошлого года», - отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, в этот раз Microsoft отказывалась признавать, что эти уязвимости проходят по категории zero-day (уязвимость нулевого дня), то есть, подвергаются эксплуатации до того, как о них становится известно вендору. «Остаётся надеяться, что в этот раз исправление будет окончательным», - подытожила Анастасия Мельникова.
Всего в рамках April Patch Tuesday Microsoft выпустила исправления к 150 уязвимостям, из которых 67 позволяли запускать произвольный код.
Поделиться
Короткая ссылка
