Microsoft solucionó dos vulnerabilidades de día cero explotadas activamente durante el martes de parches de abril de 2024, aunque la compañía no las etiquetó inicialmente como tales.
1. Introducción y Contexto
El primero de los incidentes de seguridad, identificado como CVE-2024-26234, ha sido catalogado como una vulnerabilidad de suplantación de controlador proxy. Fue detectado por Sophos X-Ops en diciembre de 2023 y reportado por Cristóbal Budd, líder del equipo de investigación.
Puede leer también | Ingeniero acusa a IA de Microsoft de generar violencia y violar derechos de autor
2. Origen y Características de la Amenaza
Este archivo malicioso, inicialmente etiquetado como "Servicio de cliente de autenticación de catálogo" por "Catalog Thales", se sospecha que intenta hacerse pasar por una entidad de confianza, posiblemente Thales Group. Sin embargo, investigaciones posteriores revelaron su asociación con un software de marketing llamado LaiXi Android Screen Mirroring, aunque su autenticidad no pudo ser verificada por Sophos.
Puede leer también | Muere hijo de CEO de Microsoft
3. Acciones y Respuestas
Sophos actuó inmediatamente informando el hallazgo al Centro de Respuesta de Seguridad de Microsoft, quien tras validar el descubrimiento, incluyó los archivos relevantes en su lista de revocación. Esto fue realizado como parte del ciclo habitual de actualizaciones de seguridad, con la referencia CVE-2024-26234.
Puede leer también | Microsoft lanza Copilot AI, un chatbot para trabajadores financieros en Excel y Outlook
4. Confirmación de los Hallazgos
Los descubrimientos de Sophos se corroboraron con la información compartida en un informe de enero de la empresa de ciberseguridad Stairwell y un tweet del experto en ingeniería inversa Johann Aydinba.
Puede leer también | Microsoft : ahora prueba anuncios en el explorador de archivos de Windows 11
5. Otros Casos Reportados y Detección de Explotación
Sophos previamente informó sobre controladores maliciosos firmados con certificados WHCP legítimos en julio de 2023 y diciembre de 2022, aunque Microsoft respondió con avisos de seguridad en lugar de emitir CVE-ID como en este caso. Además, Microsoft ha actualizado su aviso para confirmar que CVE-2024-26234 está siendo explotado en la naturaleza y ha sido divulgado públicamente.
Puede leer también | Microsoft : está ajustando el parche del día Martes y corrige 119 fallas
6. Descripción del Segundo Incidente
El segundo día cero, identificado como CVE-2024-29988, soluciona una falla en el mecanismo de protección de SmartScreen, siendo una solución para CVE-2024-21412. Este último fue informado por expertos de Trend Micro y Google.
Puede leer también | Microsoft : está incentivando a mucha gente a jugar Halo y Forza
7. Consecuencias y Actividades Maliciosas
La vulnerabilidad CVE-2024-29988 ha sido utilizada activamente en ataques para implementar malware en sistemas Windows específicos, evadiendo la detección EDR/NDR y la función Marca de la Web (MotW). Se ha asociado con el grupo de hackers Water Hydra, quienes lo utilizaron en ataques de phishing para desplegar el troyano de acceso remoto DarkMe.
Puede leer también | Microsoft Power BI: Análisis y Visualización de Datos
8. Antecedentes y Relaciones con Otros Eventos
CVE-2024-21412, relacionado con CVE-2023-36025, fue utilizado previamente como día cero para eliminar el malware Phemedrone. Esta cadena de exploits muestra una interconexión entre distintas vulnerabilidades y su explotación en actividades maliciosas.
Puede leer también | Microsoft dejará de vender Windows 10 la próxima semana
9. Respuesta de Microsoft y Conclusiones
Microsoft ha lanzado actualizaciones de seguridad para 150 vulnerabilidades, incluyendo las mencionadas, como parte del ciclo de actualizaciones de abril de 2024. Aunque no se ha proporcionado una declaración oficial por parte de Microsoft hasta el momento de este informe.
Puede leer también | Microsoft podría despedir hasta 11.000 empleados esta semana
10. Reflexiones Finales
La identificación y mitigación de estas vulnerabilidades destacan la importancia de la colaboración entre investigadores, empresas de seguridad y desarrolladores para proteger la integridad de los sistemas y datos en línea.
Puede leer también | Microsoft presenta VALL-E, su aplicación de Inteligencia Artifical que puede imitar voces
