Microsoft brengt patches uit voor 79 gebreken, waaronder 3 actief uitgebuite Windows-gebreken

Microsoft maakte dinsdag bekend dat drie nieuwe beveiligingslekken die gevolgen hebben voor het Windows-platform, actief worden uitgebuit als onderdeel van de Patch Tuesday-update voor september 2024.

De maandelijkse beveiligingsrelease pakt in totaal 79 kwetsbaarheden aan, waarvan er zeven als Kritiek zijn beoordeeld, 71 als Belangrijk en één als Matig in ernst. Dit is afgezien van 26 fouten die de techgigant in zijn Chromium-gebaseerde Edge-browser heeft opgelost sinds de Patch Tuesday-release van vorige maand.

De drie kwetsbaarheden die in een kwaadaardige context zijn misbruikt, worden hieronder vermeld, samen met een bug die Microsoft als uitgebuit beschouwt:

  • CVE-2024-38014 (CVSS-score: 7,8) – Windows Installer-kwetsbaarheid met betrekking tot misbruik van bevoegdheden
  • CVE-2024-38217 (CVSS-score: 5,4) – Windows Mark-of-the-Web (MotW) beveiligingsfunctie bypass kwetsbaarheid
  • CVE-2024-38226 (CVSS-score: 7,3) – Microsoft Publisher-beveiligingsfunctie-bypasskwetsbaarheid
  • CVE-2024-43491 (CVSS-score: 9,8) – Microsoft Windows Update kwetsbaarheid voor uitvoering van code op afstand

“Misbruik van zowel CVE-2024-38226 als CVE-2024-38217 kan leiden tot het omzeilen van belangrijke beveiligingsfuncties die de uitvoering van Microsoft Office-macro’s blokkeren”, aldus Satnam Narang, senior research engineer bij Tenable, in een verklaring.

“In beide gevallen moet het doelwit ervan overtuigd worden om een ​​speciaal vervaardigd bestand te openen vanaf een door de aanvaller gecontroleerde server. Het verschil is dat een aanvaller geauthenticeerd moet zijn bij het systeem en lokale toegang moet hebben om CVE-2024-38226 te kunnen exploiteren.”

Zoals Elastic Security Labs vorige maand onthulde, zou CVE-2024-38217 – ook wel bekend als LNK Stomping – al sinds februari 2018 in het wild misbruikt zijn.

CVE-2024-43491 valt daarentegen op door het feit dat het lijkt op de downgrade-aanval die cybersecuritybedrijf SafeBreach begin vorige maand beschreef.

“Microsoft is op de hoogte van een kwetsbaarheid in Servicing Stack. Hierdoor zijn de oplossingen voor een aantal kwetsbaarheden die betrekking hebben op optionele componenten in Windows 10, versie 1507 (oorspronkelijke versie uitgebracht in juli 2015) teruggedraaid”, aldus Redmond.

“Dit betekent dat een aanvaller misbruik kan maken van deze eerder verholpen kwetsbaarheden op systemen met Windows 10, versie 1507 (Windows 10 Enterprise 2015 LTSB en Windows 10 IoT Enterprise 2015 LTSB) waarop de Windows-beveiligingsupdate van 12 maart 2024 is geïnstalleerd — KB5035858 (OS Build 10240.20526) of andere updates die zijn uitgebracht tot augustus 2024.”

De Windows-maker zei verder dat het probleem kan worden opgelost door de Servicing Stack-update van september 2024 (SSU KB5043936) en de Windows-beveiligingsupdate van september 2024 (KB5043083) te installeren, in die volgorde.

Het is ook de moeite waard om te vermelden dat de beoordeling ‘Exploitation Detected’ van Microsoft voor CVE-2024-43491 voortkomt uit het terugdraaien van oplossingen voor kwetsbaarheden die van invloed waren op enkele optionele componenten voor Windows 10 (versie 1507) en die eerder waren misbruikt.

“Er is geen exploitatie van CVE-2024-43491 zelf gedetecteerd”, aldus het bedrijf. “Bovendien heeft het Windows-productteam bij Microsoft dit probleem ontdekt en we hebben geen bewijs gezien dat het publiekelijk bekend is.”

Softwarepatches van andere leveranciers

Naast Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder:

  • Adobe
  • Arm
  • Bosch
  • Broadcom (inclusief VMware)
  • Cisco
  • Citrix
  • CODESYS
  • D-Link
  • Dell
  • Drupal
  • F5
  • Fortuin
  • Voortra
  • GitLab
  • Google Android en Pixel
  • Google Chrome
  • Google Cloud
  • Google Wear-besturingssysteem
  • Hitachi-energie
  • PK
  • HP Enterprise (inclusief Aruba Networks)
  • IBM
  • Intel
  • Ivanti
  • Lenovo
  • Linux-distributies Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE en Ubuntu
  • MediaTek
  • Mitsubishi Elektrisch
  • MongoDB
  • Mozilla Firefox, Firefox ESR, Focus en Thunderbird
  • NVIDIA
  • eigenCloud
  • Palo Alto-netwerken
  • Voortgangssoftware
  • QNAP
  • Qualcomm
  • Rockwell Automatisering
  • Samsung
  • SAP
  • Schneider Elektriciteit
  • Siemens
  • ZonneWinds
  • SonicWall
  • Lente-framework
  • Synologie
  • Veeam
  • Zimbra
  • Zoho ManageEngine ServiceDesk Plus, SupportCenter Plus en ServiceDesk Plus MSP
  • Zoomen, en
  • Zyxel

Thijs Van der Does