Microsoft corrige duas vulnerabilidades zero-day exploradas para entregar malware

A Patch Tuesday para o mês de abril foi o maior conjunto de atualizações lançado pela Microsoft desde, pelo menos, 2017. Entre cerca de 150 vulnerabilidades corrigidas, a empresa abordou duas falhas de zero-day que terão sido exploradas por agentes de ameaça para entregar malware.

A falha CVE-2024-26234 é descrita como uma vulnerabilidade de falsificação de driver proxy de gravidade importante. A Sophos, que reportou o problema à Microsoft em dezembro de 2023, teve conhecimento dos ciberataques após receber um relatório sobre uma alegada deteção de falso positivo num ficheiro executável assinado com um certificado válido do Programa de Compatibilidade de Hardware do Windows (WHCP).

Após uma análise mais aprofundada, verificou-se que se tratava de um ficheiro backdoor malicioso, aparentemente associado a uma aplicação de espelhamento de ecrã do Android designada LaiXi. Esta aplicação remete para um software de marketing que pode ser utilizado para “conectar centenas de telemóveis e controlá-los em lotes, e automatizar tarefas como seguir, colocar like e comentar para aumentar o seu público”.

De acordo com a investigação da Sophos, o ficheiro malicioso integra um pequeno servidor proxy freeware que os investigadores acreditam que é utilizado para proceder à monitorização e interceção do tráfego de rede em sistemas infetados.

O certificado utilizado para assinar o ficheiro analisado pela Sophos foi solicitado por uma empresa chamada Hainan YouHu Technology Co., descrita como developer do LaiXi.

“Não temos evidências que sugiram que os developers do LaiXi incorporaram deliberadamente o ficheiro malicioso no seu produto, ou que um agente de ameaça conduziu um ataque à cadeia de abastecimento para o inserir no processo de compilação/construção da aplicação LaiXi”, explica a Sophos. “No entanto, vamos observar que, dadas as ligações entre o LaiXi e o backdoor malicioso que investigámos […] os utilizadores devem ter um extremo cuidado quando se trata de fazer download, instalar e utilizar o LaiXi”.

A Microsoft corrigiu a CVE-2024-26234 com as últimas atualizações da Patch Tuesday, tendo também adicionado os ficheiros à sua lista de revogação de drivers.

A segunda vulnerabilidade é seguida com o número de rastreio CVE-2024-29988 e, no comunicado da Microsoft, não há referência a uma exploração maliciosa. A Zero Day Initiative da Trend Micro indica que esta falha é um desvio imediato do recurso de segurança do SmartScreen, que foi observado em estado de exploração ativa.

O recurso à vulnerabilidade em questão pode permitir ignorar o recurso de segurança Mark of the Web (MotW). Segundo Peter Girnus da ZDI, creditado pela Microsoft pelo report da vulnerabilidade, a falha foi encontrada durante a investigação de uma campanha encetada pelo grupo de ameaças Water Hydra (DarkCasino).

Os ataques Water Hydra assentaram na exploração da vulnerabilidade CVE-2024-21412, que é semelhante à CVE-2024-29988. A CVE-2024-21412 foi utilizada para contornar o Microsoft Defender SmartScreen e entregar um malware designado DarkMe aos comerciantes do mercado financeiro.