Microsoft heeft dinsdag zijn maandelijkse beveiligingsupdate uitgebracht, waarmee 61 verschillende beveiligingsfouten in de software worden aangepakt, waaronder twee kritieke problemen met Windows Hyper-V die kunnen leiden tot Denial-of-Service (DoS) en uitvoering van externe code.
Van de 61 kwetsbaarheden zijn er twee als kritiek beoordeeld, 58 als belangrijk en één als laag qua ernst. Geen van de tekortkomingen staat vermeld als publiekelijk bekend of wordt actief aangevallen op het moment van de release, maar zes ervan zijn getagd met een ‘Exploitatie waarschijnlijker’-beoordeling.
De oplossingen vormen een aanvulling op 17 beveiligingsfouten die zijn gepatcht in de Chromium-gebaseerde Edge-browser van het bedrijf sinds de release van de Patch Tuesday-updates van februari 2024.
Bovenaan de lijst met kritieke tekortkomingen staan CVE-2024-21407 en CVE-2024-21408, die Hyper-V beïnvloeden en kunnen resulteren in respectievelijk uitvoering van externe code en een DoS-conditie.
De update van Microsoft verhelpt ook tekortkomingen in de escalatie van bevoegdheden in de Azure Kubernetes Service Confidential Container (CVE-2024-21400, CVSS-score: 9,0), Windows Composite Image File System (CVE-2024-26170, CVSS-score: 7,8) en Authenticator (CVE- 2024-21390, CVSS-score: 7,1).
Succesvolle exploitatie van CVE-2024-21390 vereist dat de aanvaller lokaal aanwezig is op het apparaat, hetzij via malware, hetzij via een kwaadaardige applicatie die al op een andere manier is geïnstalleerd. Het vereist ook dat het slachtoffer de Authenticator-app sluit en opnieuw opent.
“Misbruik van dit beveiligingslek zou een aanvaller in staat kunnen stellen toegang te krijgen tot multi-factor authenticatiecodes voor de accounts van het slachtoffer, en accounts in de authenticator-app te wijzigen of te verwijderen, maar niet te voorkomen dat de app wordt gestart of uitgevoerd”, aldus Microsoft in een adviesrapport. .
“Hoewel misbruik van deze fout minder waarschijnlijk wordt geacht, weten we dat aanvallers graag manieren willen vinden om multi-factor authenticatie te omzeilen”, zegt Satnam Narang, senior research engineer bij Tenable, in een verklaring gedeeld met The Hacker News.
“Het hebben van toegang tot een doelapparaat is al erg genoeg omdat ze toetsaanslagen kunnen monitoren, gegevens kunnen stelen en gebruikers kunnen omleiden naar phishing-websites, maar als het doel is om stealth te blijven, kunnen ze deze toegang behouden en multi-factor authenticatiecodes stelen om in te loggen aan gevoelige accounts, gegevens stelen of de accounts helemaal kapen door wachtwoorden te wijzigen en het multi-factor authenticatieapparaat te vervangen, waardoor de gebruiker effectief van zijn accounts wordt uitgesloten.”
Een andere opmerkelijke kwetsbaarheid is een privilege-escalatiebug in de Print Spooler-component (CVE-2024-21433, CVSS-score: 7.0) waardoor een aanvaller SYSTEEM-privileges kan verkrijgen, maar alleen na het winnen van een race condition.
De update verhelpt ook een fout bij het uitvoeren van externe code in Exchange Server (CVE-2024-26198, CVSS-score: 8,8) die een niet-geverifieerde bedreigingsacteur zou kunnen misbruiken door een speciaal vervaardigd bestand in een online map te plaatsen en een slachtoffer te misleiden om het te openen. bij de uitvoering van kwaadaardige DLL-bestanden.
De kwetsbaarheid met de hoogste CVSS-beoordeling is CVE-2024-21334 (CVSS-score: 9,8). Het betreft een geval van uitvoering van externe code die de Open Management Infrastructure (OMI) aantast.
“Een niet-geauthenticeerde aanvaller op afstand zou vanaf internet toegang kunnen krijgen tot de OMI-instantie en speciaal vervaardigde verzoeken kunnen verzenden om een use-after-free-kwetsbaarheid te activeren”, aldus Redmond.
“Het eerste kwartaal van Patch Tuesday in 2024 was rustiger vergeleken met de afgelopen vier jaar”, zei Narang. “Gemiddeld zijn er in het eerste kwartaal van 2020 tot en met 2023 237 CVE’s gepatcht. In het eerste kwartaal van 2024 heeft Microsoft slechts 181 CVE’s gepatcht. Het gemiddelde aantal CVE’s dat in maart de afgelopen vier jaar is gepatcht, was 86.”
Softwarepatches van andere leveranciers
Naast Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder:
