Trend Micro descubre vulnerabilidad que afecta a millones de usuarios de Microsoft Windows Defender

Trend Micro Incorporated, líder global en ciberseguridad, anunció el descubrimiento de una vulnerabilidad en Microsoft Windows Defender que está siendo explotada activamente por los grupos de ciberamenazas DarkGate y Dark Casino (Water Hydra). Se recomienda a las organizaciones que tomen medidas inmediatas en respuesta a la continua explotación activa de esta vulnerabilidad por parte de los ciberdelincuentes.

Desde el 31 de diciembre de 2023, una vulnerabilidad de día cero identificada como CVE-2024-21412 ha estado en curso, siendo revelada por Zero Day Initiative (ZDI) de Trend Micro a Microsoft. Según la compañía, aquellos clientes y empresas afectadas que implementaron todos los parches virtuales disponibles lograron un ahorro promedio de 1 millón de dólares para sus negocios desde el momento de su detección.

De acuerdo con Kevin Simzer, director de operaciones de Trend Micro: «Las vulnerabilidades de día cero son una forma cada vez más popular para que los actores de amenazas alcancen sus objetivos. Esta es una de las razones por las que invertimos tanto en inteligencia de amenazas, para que podamos mantener a nuestros clientes protegidos meses antes de que se publiquen los parches oficiales de los proveedores. Estamos orgullosos de estar creando un mundo con menos riesgo cibernético».

El riesgo crítico radica en la posibilidad de que las vulnerabilidades sean aprovechadas por ciberdelincuentes maliciosos y dirigidas hacia una amplia gama de industrias u organizaciones. Actualmente, esta vulnerabilidad está siendo activamente explotada por el grupo APT, impulsado por motivaciones financieras, con el objetivo de comprometer a los operadores de divisas que participan en el mercado de comercio de alto riesgo. Esta situación plantea una amenaza significativa tanto para la integridad de los datos como para la estabilidad financiera de las empresas afectadas.

Específicamente, se utiliza en una sofisticada cadena de ataques de día cero para permitir una omisión de Windows Defender SmartScreen. Los ataques están diseñados para infectar a las víctimas con el troyano de acceso remoto (RAT) DarkMe para posibles robos de datos y ransomware.

Utilizando capas de defensa para mitigar amenazas avanzadas, las capacidades del sistema de prevención de intrusiones (IPS) de Trend Micro entregaron parches virtuales a sus clientes para bloquear completamente la explotación de CVE-2024-21412.

Trend Vision One identifica automáticamente vulnerabilidades críticas y proporciona visibilidad de todos los endpoints afectados y su posible impacto en el riesgo general de una organización. El enfoque proactivo para la gestión de riesgos reduce la necesidad de medidas reactivas de último momento y garantiza que los clientes estén bien preparados para mitigar los riesgos con confianza.

Por el contrario, las organizaciones que dependen únicamente de un enfoque heredado de detección y respuesta de endpoints (EDR) pueden quedar expuestas a la amenaza si sus atacantes utilizan técnicas avanzadas para evitar la detección.

El poder del ZDI para encontrar y luego alimentar inteligencia en parches virtuales se ha vuelto cada vez más importante a la luz de dos tendencias clave identificadas por Trend Micro:

• Las vulnerabilidades de día cero descubiertas por los grupos de delitos cibernéticos se implementan cada vez más en las cadenas de ataques por parte de grupos de estados-nación como APT28, APT29 y APT40, ampliando su alcance.
• CVE- 2024-21412 es en sí mismo una simple derivación de CVE-2023-36025, lo que destaca la facilidad con la que los grupos APT pueden identificar y eludir parches limitados de proveedores.
  Cuando se descubre una nueva vulnerabilidad de día cero, Trend Micro se la informa responsablemente al proveedor. Luego, quienes son clientes de la compañía se benefician de parches virtuales para proteger sus sistemas de la explotación hasta que se pueda aplicar un parche oficial.

Mark Houpt, CISO, Databank: «Hemos experimentado de primera mano las ventajas de estar bajo el paraguas protector de Trend Micro. Su inteligencia de amenazas incomparable nos permite estar protegidos de manera proactiva contra amenazas emergentes. Al implementar sus parches virtuales, hemos logrado adelantarnos a posibles intentos de explotación, proteger nuestros sistemas y permitir que nuestros clientes tengan la confianza de que sus sistemas están protegidos mucho antes de que los parches oficiales estén disponibles. Es una parte crucial de nuestra estrategia de ciberseguridad, que nos brinda tranquilidad y ahorro de costos significativos en potenciales medidas de prevención de infracciones».