微软今天向 Windows 10/11 受支持的微软网版本 (也包括 Windows Server 和 LTSC/LTSB) 发布了 2024-04 例行累积更新,这些累积更新里包含对两枚零日漏洞的本月被黑修复。 第一个漏洞编号是更新 CVE-2024-26234,该驱动被称为代理驱动程序欺骗漏洞,中修攻击者冒用有效的两枚零日漏洞蓝点微软硬件发行商证书签名来发布恶意驱动程序。 利用该漏洞并冒用的野外用是 Catalog Authentication Client Service,可能是客利用来冒用 Thales Group 公司发布的驱动程序,但进一步调查发现其试图捆绑名为来喜的微软网一款营销软件。 来喜是本月被黑海南优虎科技有限公司推出的一款安卓投屏应用,是更新一款营销软件,用来批量关注、中修点赞、两枚零日漏洞蓝点评论、野外用自动养号、客利快速涨粉等。微软网 目前尚不清楚恶意软件捆绑这个营销软件是什么目的,有可能是来喜在某些渠道推广,恶意软件通过渠道进行捆绑安装获取收入。 第二个漏洞是 CVE-2024-29988,由保护机制故障弱点导致的 SmartScreen 筛选器提示安全功能绕过,微软的这个筛选器在识别到陌生文件例如用户从网络下载的文件时,会弹出安全警告,黑客利用漏洞则可以绕过这个警告。 趋势科技安全团队已经注意到黑客使用该漏洞绕过保护并在 Windows 上部署恶意软件,最初微软在 2 月份就尝试进行修复,不过当时的补丁未能彻底解决问题,所以在这个月微软再次发布更新对漏洞利用链的第二部分进行修复。 出于经济动机疑一伙致力于洗劫股票和外汇账户的黑客在一些论坛发布该恶意软件,部署名为 DarkMe 的远程访问木马,然后借机盗取账户。 因此对用户来说还是要及时安装这些安全更新的,尤其是对企业用户来说,如果因为一台电脑遭到入侵,那么内网其他设备也可能会被感染。 |