[19/02/2024] Trend Micro anunció el descubrimiento de una vulnerabilidad en Microsoft Windows Defender que está siendo explotada activamente por el grupo de amenazas cibernéticas Water Hydra.
Según lo señalado en el comunicado de prensa, Trend descubrió la vulnerabilidad el 31 de diciembre del 2023 y los clientes de Trend están protegidos automáticamente desde el 17 de enero del 2024. Se recomienda a las organizaciones que tomen medidas inmediatas en respuesta a la explotación activa en curso de esta vulnerabilidad por parte de los ciberdelincuentes.
Esta es una vulnerabilidad activa de día cero que fue revelada por la Zero Day Initiative (ZDI) de Trend Micro a Microsoft, e identificada como CVE-2024-21412.
"Las vulnerabilidades de día cero son una forma cada vez más popular para que los actores de amenazas logren sus objetivos. Esta es una de las razones por las que invertimos tanto en inteligencia de amenazas, para poder mantener a nuestros clientes protegidos meses antes de que se publiquen los parches oficiales de los proveedores. Estamos orgullosos de crear un mundo con menos riesgo cibernético", indicó Kevin Simzer, director de operaciones de Trend.
El riesgo crítico, agregó el ejecutivo, es que las vulnerabilidades pueden ser explotadas por malos actores que se dirigen a cualquier número de industrias u organizaciones. "Este está siendo explotado activamente por el grupo APT, motivado financieramente, para comprometer a los operadores de divisas que participan en el mercado de comercio de divisas de alto riesgo”.
En concreto, explicó Simzer, se usa en una sofisticada cadena de ataque de día cero para habilitar una omisión de SmartScreen de Windows Defender. "Los ataques están diseñados para infectar a las víctimas con el troyano de acceso remoto (RAT) DarkMe para un posible robo de datos y ransomware”. Trend proporciona parches virtuales al bloquear por completo la explotación de CVE-2024-21412.
Las vulnerabilidades de día cero descubiertas por los grupos de ciberdelincuencia se despliegan cada vez más en cadenas de ataque por parte de grupos de estados-nación como APT28, APT29 y APT40, lo que amplía su alcance. "CVE-2024-21412 es en sí mismo una simple omisión de CVE-2023-36025, lo que pone de manifiesto la facilidad con la que los grupos de APT pueden identificar y eludir los parches de proveedores estrechos”, finalizó Simzer.
Franca Cavassa, CTOPerú