Phiên bản vá Patch Tuesday mới nhất đã được Microsoft phát hành để khắc phục hai lỗ hổng Zero-day, và dấu vết cho thấy những lỗ hổng này đã bị tin tặc tận dụng để tiến hành cuộc tấn công mới. Do đó, người dùng cần cập nhật ngay để bảo vệ hệ thống của mình.
Số theo dõi của lỗ hổng đầu tiên là CVE-2024-26234. Đây là một lỗ hổng giả mạo trình điều khiển proxy có khả năng sử dụng chứng chỉ xuất bản phần cứng hợp lệ của Microsoft để chứng nhận các trình điều khiển độc hại. Công ty bảo mật Sophos X-Ops đã phát hiện ra lỗ hổng này vào tháng 12/2023 và người đứng đầu nhóm Christopher Budd đã báo cáo về lỗ hổng này cho Microsoft.
Theo báo cáo, tệp độc hại được gắn nhãn "Dịch vụ xác thực khách hàng danh mục" có vẻ như nhằm mục đích giả mạo Thales Group. Sau khi điều tra kỹ hơn, phát hiện rằng phần mềm độc hại đi kèm với một phần mềm tiếp thị có tên "LaiXi Android Screen Mirroring".
Sophos không thể xác minh tính xác thực của phần mềm LaiXi, nhưng Budd cho biết họ tin rằng tệp này có thể là một cửa hậu độc hại.
Một lỗ hổng mới được xác định là CVE-2024-29988 có khả năng xâm nhập qua các biện pháp bảo vệ hệ thống và tắt chức năng cảnh báo của SmartScreen. Peter Girnus của Dự án Zero-Day Trend Micro và Dmitrij Lenz cùng Vlad Stolyarov của Nhóm phân tích mối đe dọa từ Google đã phát hiện lỗ hổng này.
Dustin Childs, người đứng đầu bộ phận nhận thức về mối đe dọa tại ZDI, đã chỉ ra rằng các hacker có thể tận dụng lỗ hổng này để tránh bị phát hiện bởi EDR/NDR và không cần phải chú ý đến chức năng Mark of the Web (MoTW), đồng thời có thể triển khai nhiều loại phần mềm độc hại trên hệ thống Windows mục tiêu.
