Descubierta una nueva vulnerabilidad de Microsoft Windows Defender que afecta a millones de usuarios

Trend Micro ha descubierto una vulnerabilidad en Microsoft Windows Defender que está siendo explotada activamente por el grupo de ciberamenazas Water Hydra. Ésta fue hallada el 31 de diciembre de 2023. Se aconseja a las organizaciones que tomen medidas inmediatas emitiendo parches virtuales.

Mark Houpt, CISO de Databank: "Mediante la implementación de parches virtuales, hemos conseguido adelantarnos a los posibles intentos de ataque, protegiendo nuestros sistemas y permitiendo a nuestros clientes confiar en que sus sistemas están protegidos mucho antes de que estén disponibles los parches oficiales. Es una parte crucial de nuestra estrategia de ciberseguridad, que nos da tranquilidad y nos permite ahorrar costes significativos en la prevención de posibles brechas".

Kevin Simzer, COO de Trend: "Las vulnerabilidades de día cero son una forma cada vez más popular para que los actores de amenazas logren sus objetivos. Esta es una de las razones por las que invertimos tanto en inteligencia de amenazas, para poder mantener a nuestros clientes protegidos meses antes de que se publiquen los parches oficiales de los proveedores. Estamos orgullosos de crear un mundo con menos ciberriesgos".

El riesgo crítico es que las vulnerabilidades pueden ser explotadas por agentes malintencionados en cualquier sector u organización. Esta vulnerabilidad está siendo explotada activamente por el grupo APT, con motivaciones financieras, para comprometer a los operadores de divisas que participan en el mercado de divisas de alto riesgo. En concreto, se utiliza en una sofisticada cadena de ataques de día cero para permitir un bypass de Windows Defender SmartScreen. Los ataques están diseñados para infectar a las víctimas con el troyano de acceso remoto (RAT) DarkMe para un posible robo de datos y ransomware.

Utilizando capas de defensa para mitigar las amenazas avanzadas, las capacidades del sistema de prevención de intrusiones (IPS) de Trend proporcionaron parches virtuales bloqueando completamente la explotación de CVE-2024-21412. Se trata de identificar automáticamente las vulnerabilidades críticas y proporcionar visibilidad de todos los endpoints afectados y su posible impacto en el riesgo global de una organización.

En este sentido, las empresas que confíen únicamente en un enfoque heredado de detección y respuesta endpoint (EDR) pueden quedar expuestas a la amenaza si sus atacantes utilizan técnicas avanzadas para evitar la detección.