2024年4月9日,微软发布了针对 150 个漏洞的安全更新,其中 67 个是远程代码执行错误的补丁,该补丁修复了两个被积极利用的零日漏洞CVE-2024-26234和CVE-2024-29988。
CVE-2024-26234,被描述为代理驱动程序欺骗漏洞,旨在跟踪使用有效的 Microsoft 硬件发布者证书签名的恶意驱动程序,该漏洞由 Sophos X-Ops 于 2023 年 12 月发现并由团队负责人报告 克里斯托弗·巴德.该恶意文件被“Catalog Thales”标记为“Catalog Authentication Client Service”,可能是试图冒充 Thales Group。 但进一步调查发现,该软件此前捆绑了一款名为“LaiXi Android Screen Mirroring”的营销软件。虽然 Sophos 无法验证 LaiXi 软件的真实性,但 Budd 表示他们确信该文件是恶意后门。
CVE-2024-29988,被描述为由保护机制故障弱点导致的SmartScreen提示安全功能绕过漏洞。CVE-2024-29988 是 CVE-2024-21412 缺陷的绕过方法,由趋势科技零日计划的 Peter Girnus 以及 Google 威胁分析小组 Dmitrij Lenz 和 Vlad Stolyarov 报告。ZDI 的威胁意识主管 Dustin Childs 将其标记为在逃避 EDR/NDR 检测并绕过 Mark of the Web (MotW) 功能后,积极用于在目标 Windows 系统上部署恶意软件的攻击。
CVE-2024-21412 本身是另一个被跟踪为 CVE-2023-36025 的 Defender SmartScreen 漏洞的旁路,该漏洞在 2023 年 11 月的补丁星期二期间进行了修补,并被利用作为零日漏洞来删除 Phemedrone 恶意软件。