Microsoft ha rilasciato una patch per due vulnerabilità zero-day di Windows che sono state sfruttate da malware.
La prima vulnerabilità, CVE-2024-26234, è stata descritta come una vulnerabilità di spoofing del driver proxy firmata con un certificato Microsoft Hardware Publisher Certificate. La seconda vulnerabilità, CVE-2024-29988, è stata descritta come un bypass del prompt di sicurezza SmartScreen causato da una debolezza del meccanismo di protezione.
CVE-2024-26234: Vulnerabilità di spoofing del driver proxy
La prima vulnerabilità, CVE-2024-26234, è stata scoperta da Sophos X-Ops nel dicembre 2023 e riguarda un driver malware firmato con un certificato Microsoft Hardware Publisher Certificate. Il driver è stato etichettato come “Catalog Authentication Client Service” da “Catalog Thales”, ma ulteriori indagini hanno rivelato che era precedentemente stato distribuito con un software di marketing chiamato LaiXi Android Screen Mirroring.
Sophos non è riuscita a verificare l’autenticità del software LaiXi, ma il team leader Christopher Budd ha dichiarato di essere sicuro che il file sia un backdoor malware. Microsoft ha aggiunto il file alla sua lista di revoca dopo che Sophos ha riportato la vulnerabilità.
CVE-2024-29988: Bypass del prompt di sicurezza SmartScreen
La seconda vulnerabilità, CVE-2024-29988, è stata descritta come un bypass del prompt di sicurezza SmartScreen causato da una debolezza del meccanismo di protezione. Questa vulnerabilità è stata riportata da Peter Girnus di Trend Micro’s Zero Day Initiative e da Google’s Threat Analysis Group Dmitrij Lenz e Vlad Stolyarov.
ZDI’s Head of Threat Awareness Dustin Childs ha descritto la vulnerabilità come attivamente utilizzata per distribuire malware su sistemi Windows mirati dopo aver eluso la rilevazione EDR/NDR e bypassato la funzione Mark of the Web (MotW).
Consigli e Best Practice
Per proteggersi dalle vulnerabilità zero-day, è importante installare aggiornamenti e patch di sicurezza il più rapidamente possibile. È anche importante utilizzare software antivirus affidabili e mantenere aggiornati i sistemi operativi e le applicazioni.
Inoltre, è importante essere consapevoli delle minacce di sicurezza e adottare misure di sicurezza proattive, come l’uso di password complesse, l’abilitazione dell’autenticazione a due fattori e la limitazione dell’accesso alle risorse solo a utenti e dispositivi fidati.
Le vulnerabilità zero-day possono essere una minaccia significativa per la sicurezza informatica, ma Microsoft ha dimostrato che è possibile mitigare tali minacce attraverso patch e aggiornamenti di sicurezza tempestivi. È importante per gli utenti e le organizzazioni adottare misure di sicurezza proattive e mantenere aggiornati i sistemi operativi e le applicazioni per ridurre il rischio di vulnerabilità zero-day.
