Durante el martes de parches de abril de 2024, Microsoft abordó dos vulnerabilidades de día cero que estaban siendo activamente explotadas, aunque inicialmente no las identificaron como tales.
La primera vulnerabilidad, conocida como CVE-2024-26234, fue descubierta por Sophos X-Ops y reportada por Christopher Budd. Se trata de un controlador proxy malicioso firmado con un certificado válido de Microsoft. Aunque inicialmente se etiquetó como «Servicio de cliente de autenticación de catálogo» por «Catalog Thales», una investigación reveló su asociación con un software de marketing llamado LaiXi Android Screen Mirroring. Sophos considera este archivo como una puerta trasera maliciosa.
La segunda vulnerabilidad, CVE-2024-29988, fue reportada por Peter Girnus de la Iniciativa Zero Day de Trend Micro y el Grupo de Análisis de Amenazas de Google. Esta vulnerabilidad es un bypass para CVE-2024-21412 y permite la omisión de la función de seguridad de aviso SmartScreen. Fue utilizada activamente por el grupo de hackers Water Hydra en ataques financieros.
Ambas vulnerabilidades fueron corregidas por Microsoft como parte de las actualizaciones de seguridad de abril de 2024. Estas actualizaciones abordan un total de 150 vulnerabilidades, siendo 67 de ellas errores de ejecución remota de código.
A pesar de los informes previos de Sophos sobre controladores maliciosos con certificados legítimos de Microsoft, esta vez Microsoft emitió advertencias en lugar de CVE-ID, mostrando con esto, la constante evolución de las amenazas cibernéticas.
