Microsoft heeft beveiligingsupdates uitgebracht om in totaal 118 kwetsbaarheden in zijn softwareportfolio op te lossen, waarvan er twee actief in het wild zijn uitgebuit.
Van de 118 tekortkomingen zijn er drie beoordeeld als kritiek, 113 als belangrijk en twee als matig. De Patch Tuesday-update bevat niet de 25 extra fouten die de technologiegigant de afgelopen maand heeft aangepakt in zijn Chromium-gebaseerde Edge-browser.
Vijf van de kwetsbaarheden zijn op het moment van uitgave publiekelijk bekend, en twee ervan worden actief uitgebuit als een zero-day –
- CVE-2024-43572 (CVSS-score: 7,8) – Beveiligingslek bij het uitvoeren van externe code in de Microsoft Management Console (exploitatie gedetecteerd)
- CVE-2024-43573 (CVSS-score: 6,5) – Beveiligingslek in verband met spoofing van het Windows MSHTML-platform (exploitatie gedetecteerd)
- CVE-2024-43583 (CVSS-score: 7,8) – Beveiligingslek met betrekking tot misbruik van bevoegdheden in Winlogon
- CVE-2024-20659 (CVSS-score: 7.1) – Windows Hyper-V-beveiligingsfunctie omzeilt kwetsbaarheid
- CVE-2024-6197 (CVSS-score: 8,8) – Open Source Curl-kwetsbaarheid bij het uitvoeren van externe code (niet-Microsoft CVE)
Het is vermeldenswaard dat CVE-2024-43573 vergelijkbaar is met CVE-2024-38112 en CVE-2024-43461, twee andere MSHTML-spoofingfouten die vóór juli 2024 door de bedreigingsacteur Void Banshee zijn uitgebuit om de Atlantida Stealer-malware af te leveren.
Microsoft maakt geen melding van hoe de twee kwetsbaarheden in het wild worden uitgebuit, en door wie, of hoe wijdverbreid ze zijn. Het heeft de onderzoekers Andres en Shady gecrediteerd voor het rapporteren van CVE-2024-43572, maar er is geen erkenning gegeven voor CVE-2024-43573, wat de mogelijkheid vergroot dat er sprake zou kunnen zijn van een patch-bypass.
“Sinds de ontdekking van CVE-2024-43572 voorkomt Microsoft nu dat niet-vertrouwde MSC-bestanden op een systeem worden geopend”, zegt Satnam Narang, senior research engineer bij Tenable, in een verklaring gedeeld met The Hacker News.
De actieve exploitatie van CVE-2024-43572 en CVE-2024-43573 is ook opgemerkt door de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), die ze heeft toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor federale instanties verplicht zijn de opgelost vóór 29 oktober 2024.
Van alle fouten die Redmond dinsdag onthulde, betreft de ernstigste een fout bij uitvoering op afstand in Microsoft Configuration Manager (CVE-2024-43468, CVSS-score: 9,8), waardoor niet-geverifieerde actoren willekeurige opdrachten kunnen uitvoeren.
“Een niet-geauthenticeerde aanvaller kan misbruik maken van dit beveiligingslek door speciaal vervaardigde verzoeken naar de doelomgeving te sturen, die op een onveilige manier worden verwerkt, waardoor de aanvaller opdrachten kan uitvoeren op de server en/of de onderliggende database”, aldus het rapport.
Twee andere kritieke tekortkomingen hebben ook betrekking op de uitvoering van externe code in de Visual Studio Code-extensie voor Arduino (CVE-2024-43488, CVSS-score: 8,8) en Remote Desktop Protocol (RDP) Server (CVE-2024-43582, CVSS-score: 8,8). 8.1).
“Exploitatie vereist dat een aanvaller opzettelijk verkeerd ingedeelde pakketten naar een Windows RPC-host verzendt, en leidt tot code-uitvoering in de context van de RPC-service, hoewel wat dit in de praktijk betekent kan afhangen van factoren zoals de RPC Interface Restriction-configuratie op het doelmiddel. ” Adam Barnett, hoofdsoftware-ingenieur bij Rapid7, vertelde over CVE-2024-43582.
“Eén zilveren randje: de complexiteit van de aanval is hoog, omdat de aanvaller een race condition moet winnen om op onjuiste wijze toegang te krijgen tot het geheugen.”
Softwarepatches van andere leveranciers
Buiten Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder: