Microsoft ha lanzado esta semana un enorme lote de actualizaciones que corrige un gran número de vulnerabilidades, incluyendo algunas utilizadas por ciberdelincuentes para distribuir malware. Entre las 150 vulnerabilidades parcheadas se encuentran la CVE-2024-26234 y la CVE-2024-29988, dos vulnerabilidades de día cero de extrema gravedad.
En un principio, Microsoft no marcó estas dos vulnerabilidades como activamente explotadas, pero tanto Sophos como Trend Micro, dos compañías de ciberseguridad, compartieron información con la compañía sobre cómo fueron explotadas activamente en una serie de ataques.
En el caso de CVE-2024-26234, una vulnerabilidad de suplantación de controladores proxy, Sophos compartió que este CVE está asignado a un controlador malicioso firmado con un certificado válido de Microsoft Hardware Publisher, y que se habría utilizado para desplegar una puerta trasera previamente revelada por Stairwell.
CVE-2024-29988, por otro lado, es un parche para eludir el fallo CVE-2024-21412 (también un parche para el fallo CVE-2023-36025), que permite que los archivos adjuntos eludan los avisos de Microsoft Defender Smartscreen cuando se abre el archivo. Lo utilizó el grupo de piratas informáticos Water Hydra, con motivaciones financieras, para atacar foros de compraventa de divisas y canales de Telegram de compraventa de acciones en ataques de spearphishing que desplegaban el troyano de acceso remoto (RAT) DarkMe.