Microsoft heeft beveiligingsupdates uitgebracht om 51 fouten te verhelpen als onderdeel van de Patch Tuesday-updates voor juni 2024.
Van de 51 kwetsbaarheden wordt er één als kritiek beoordeeld en 50 als belangrijk. Dit is een aanvulling op de 17 kwetsbaarheden die de afgelopen maand in de Chromium-gebaseerde Edge-browser zijn opgelost.
Geen van de beveiligingsfouten is actief in het wild uitgebuit, waarbij één ervan ten tijde van de release als publiekelijk bekend stond.
Het gaat om een advies van een derde partij, bijgehouden als CVE-2023-50868 (CVSS-score: 7,5), een Denial-of-Service-probleem dat invloed heeft op het DNSSEC-validatieproces en dat CPU-uitputting kan veroorzaken op een DNSSEC-validerende solver.
Het werd in februari gerapporteerd door onderzoekers van het National Research Center for Applied Cybersecurity (ATHENE) in Darmstadt, samen met KeyTrap (CVE-2023-50387, CVSS-score: 7,5).
“NSEC3 is een verbeterde versie van NSEC (Next Secure) die een authentieke ontkenning van het bestaan biedt”, zegt Tyler Reguly, associate director Security R&D bij Fortra, in een verklaring. “Door te bewijzen dat een record niet bestaat (met bewijs van de omliggende records), kunt u DNS-cachevergiftiging tegen niet-bestaande domeinen helpen voorkomen.”
“Aangezien dit een kwetsbaarheid op protocolniveau is, worden andere producten dan Microsoft getroffen door bekende DNS-servers zoals bind, powerdns, dnsmasq en andere die ook updates vrijgeven om dit probleem op te lossen.”
De ernstigste fout die in de update van deze maand is verholpen, is een kritieke fout in de uitvoering van externe code (RCE) in de Microsoft Message Queuing-service (MSMQ) (CVE-2024-30080, CVSS-score: 9,8).
“Om dit beveiligingslek te misbruiken, zou een aanvaller een speciaal vervaardigd kwaadaardig MSMQ-pakket naar een MSMQ-server moeten sturen”, aldus Microsoft. “Dit kan resulteren in het uitvoeren van externe code aan de serverzijde.”
Ook opgelost door Redmond zijn verschillende andere RCE-bugs die Microsoft Outlook (CVE-2024-30103), Windows Wi-Fi Driver (CVE-2024-30078) aantasten, en talloze privilege-escalatiefouten in het Windows Win32 Kernel Subsystem (CVE-2024-30086) , Windows Cloud Files Mini Filter Driver (CVE-2024-30085) en Win32k (CVE-2024-30082), onder andere.
Cyberbeveiligingsbedrijf Morphisec, dat CVE-2024-30103 ontdekte, zei dat de fout kan worden gebruikt om de uitvoering van code te activeren zonder dat gebruikers hoeven te klikken of interactie te hebben met de e-mailinhoud.
“Dit gebrek aan vereiste gebruikersinteractie, gecombineerd met de ongecompliceerde aard van de exploit, vergroot de kans dat kwaadwillenden deze kwetsbaarheid zullen misbruiken voor initiële toegang”, aldus beveiligingsonderzoeker Michael Gorelik.
“Zodra een aanvaller dit beveiligingslek met succes misbruikt, kan hij willekeurige code uitvoeren met dezelfde rechten als de gebruiker, wat mogelijk kan leiden tot een volledig systeemcompromis.”
Softwarepatches van andere leveranciers
Naast Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder:
