CVE-2024-26234 kusuru, büyük önem derecesine sahip bir proxy sürücüsü sahtekarlığı güvenlik açığı olarak tanımlanmaktadır. Sorunu Aralık 2023'te Microsoft'a bildiren Sophos, geçerli bir Windows Donanım Uyumluluk Programı (WHCP) sertifikasıyla imzalanmış yürütülebilir bir dosyada iddia edilen yanlış pozitif algılama hakkında bir rapor aldıktan sonra siber saldırılardan haberdar oldu.
Daha fazla analiz üzerine, görünüşe göre LaiXi adlı bir Android ekran yansıtma uygulamasıyla ilişkili kötü amaçlı bir arka kapı dosyası olduğu bulundu. Bu uygulama, "yüzlerce cep telefonunu birbirine bağlamak ve bunları toplu olarak kontrol etmek ve hedef kitlenizi artırmak için takip etme, beğenme ve yorum yapma gibi görevleri otomatikleştirmek" için kullanılabilecek bir pazarlama yazılımını ifade eder.
Sophos'un araştırmasına göre, kötü amaçlı dosya, araştırmacıların virüslü sistemlerdeki ağ trafiğini izlemek ve engellemek için kullanıldığına inandıkları küçük bir ücretsiz proxy sunucusunu entegre ediyor.
Sophos tarafından analiz edilen dosyayı imzalamak için kullanılan sertifika, LaiXi'nin geliştiricisi olarak tanımlanan Hainan YouHu Technology Co. adlı bir şirket tarafından talep edildi.
Sophos, "LaiXi'nin geliştiricilerinin kötü amaçlı dosyayı kasıtlı olarak ürünlerine yerleştirdiğini veya bir tehdit aktörünün LaiXi uygulamasının oluşturma/oluşturma sürecine eklemek için bir tedarik zinciri saldırısı gerçekleştirdiğini gösteren hiçbir kanıtımız yok" diye açıklıyor. "Ancak, LaiXi ile araştırdığımız kötü niyetli arka kapı arasındaki bağlantılar göz önüne alındığında [...] kullanıcılar LaiXi'yi indirme, yükleme ve kullanma konusunda son derece dikkatli olmalıdır."
Microsoft, CVE-2024-26234'ü en son Salı Yaması güncellemeleriyle yamaladı ve ayrıca dosyaları sürücü iptal listesine ekledi.
İkinci güvenlik açığını CVE-2024-29988 izleme numarası takip ediyor ve Microsoft'un danışma belgesinde kötü amaçlı bir istismara atıfta bulunulmuyor. Trend Micro'nun Zero Day Initiative'i, bu kusurun, aktif bir istismar durumunda olduğu gözlemlenen SmartScreen'in güvenlik özelliğinden ani bir sapma olduğunu gösteriyor.
Söz konusu güvenlik açığının kullanılması, Mark of the Web (MotW) güvenlik özelliğini atlamanıza izin verebilir. Güvenlik açığını bildirdiği için Microsoft tarafından kredilendirilen ZDI'dan Peter Girnus'a göre, kusur, tehdit grubu Water Hydra (DarkCasino) tarafından başlatılan bir kampanyanın araştırılması sırasında bulundu.
Water Hydra saldırıları, CVE-2024-29988'e benzeyen CVE-2024-21412 güvenlik açığından yararlanılmasına dayanıyordu. CVE-2024-21412, Microsoft Defender SmartScreen'i atlamak ve DarkMe adlı kötü amaçlı yazılımı finansal piyasa tüccarlarına teslim etmek için kullanıldı.