【資安日報】4月20日,第三個Microsoft Defender零時差漏洞被揭露
漏洞背景與發現
該公司最早於4月10日發現BlueHammer遭到利用,駭客試圖執行FunnyApp.exe觸發漏洞,結果遭到受害電腦的Microsoft Defender攔截與隔離,因而未能成功。
攻擊活動與威脅分析
威脅情報公司Huntress指出,他們發現該名研究員公佈的資安漏洞已遭實際利用活動,由於有兩項漏洞被公開,且已傳出被用於攻擊活動,顯示攻擊者正積極針對Microsoft Defender的零時差漏洞進行測試與部署。
相關技術與案例
- BlueHammer漏洞:可觸發本地權限提升,讓攻擊者取得SYSTEM最高權限以完全控制裝置。
- Water Hydra集團利用CVE-2024-21412繞過保護機制植入木馬。
- Lazarus集團透過CVE-2024-38193植入Rootkit。
後續應對與建議
微軟已發布4月例行更新,修補SharePoint與Defender的零時差漏洞,是今年最多的一次修補,建議企業用戶及時更新系統以降低風險。