Microsoft는 2024년 4월 보안 업데이트를 통해 기록적인 149개의 결함을 수정했으며, 이 중 두 가지는 야생에서 활발하게 악용되고 있습니다.
149개의 결함 중 3개는 심각도가 ‘치명적’, 142개는 ‘중요’, 3개는 ‘보통’, 1개는 ‘낮음’으로 평가되었습니다. 이번 업데이트는 3월 2024년 패치 화요일 업데이트 이후 Chromium 기반 Edge 브라우저에서 해결한 21개의 취약점과는 별개입니다.
활발하게 악용된 두 가지 결함은 다음과 같습니다 –
Microsoft의 자체 권고안은 CVE-2024-26234에 대한 정보를 제공하지 않지만, 사이버 보안 회사 Sophos는 2023년 12월 유효한 Microsoft Windows 하드웨어 호환성 출판자(WHCP) 인증서로 서명된 악의적인 실행 파일(“Catalog.exe” 또는 “Catalog Authentication Client Service”)을 발견했다고 밝혔습니다.
바이너리의 Authenticode 분석은 원래 요청한 출판사를 하이난 유후 기술 유한 회사로 밝혀냈습니다. 이는 라이시 안드로이드 스크린 미러링과 같은 다른 도구의 출판사이기도 합니다.
해당 도구는 “마케팅 소프트웨어로서… 수백 대의 휴대폰을 연결하고 대량으로 제어하여 팔로잉, 좋아요, 댓글 등의 작업을 자동화할 수 있다”고 설명됩니다.
가장된 인증 서비스 내에는 감염된 시스템에서 네트워크 트래픽을 모니터링하고 가로채는 기능을 하는 백도어인 3proxy 구성 요소가 포함되어 있습니다.
Sophos 연구원 Andreas Klopsch는 “라이시 개발자가 악의적인 파일을 제품에 의도적으로 포함시켰거나 위협 요소가 라이시 애플리케이션의 컴파일/빌드 과정에 그것을 삽입하기 위해 공급망 공격을 수행했다는 증거는 없다”고 말했습니다.
사이버 보안 회사는 또한 2023년 1월 5일까지 거슬러 올라가는 백도어의 다양한 변종을 야생에서 발견했으며, 이는 캠페인이 적어도 그때부터 진행되고 있었음을 나타냅니다. Microsoft는 관련 파일을 취소 목록에 추가했습니다.
활발하게 공격된 또 다른 보안 결함은 CVE-2024-29988로, CVE-2024-21412 및 CVE-2023-36025와 마찬가지로 공격자가 특별히 제작된 파일을 열 때 Microsoft Defender SmartScreen 보호를 우회할 수 있습니다.