Microsoft heeft dinsdag oplossingen uitgebracht voor in totaal 90 beveiligingslekken, waaronder 10 zero-days. Zes daarvan zijn actief misbruikt.
Van de 90 bugs zijn er zeven als Kritiek beoordeeld, 79 als Belangrijk en één als Matig in ernst. Dit is ook een aanvulling op de 36 kwetsbaarheden die de techgigant sinds vorige maand in zijn Edge-browser heeft opgelost.
De Patch Tuesday-updates zijn opmerkelijk omdat ze zes actief geëxploiteerde zero-days aanpakken:
- CVE-2024-38189 (CVSS-score: 8,8) – Microsoft Project-kwetsbaarheid voor uitvoering van externe code
- CVE-2024-38178 (CVSS-score: 7,5) – Kwetsbaarheid voor geheugenbeschadiging in Windows Scripting Engine
- CVE-2024-38193 (CVSS-score: 7,8) – Windows Ancillary Function Driver voor WinSock-kwetsbaarheid voor misbruik van bevoegdheden
- CVE-2024-38106 (CVSS-score: 7.0) – Windows Kernel-kwetsbaarheid voor misbruik van bevoegdheden
- CVE-2024-38107 (CVSS-score: 7,8) – Windows Power Dependency Coordinator-kwetsbaarheid voor misbruik van bevoegdheden
- CVE-2024-38213 (CVSS-score: 6,5) – Windows Mark of the Web Security Feature Bypass-kwetsbaarheid
CVE-2024-38213, waarmee aanvallers SmartScreen-beveiligingen kunnen omzeilen, vereist dat een aanvaller de gebruiker een schadelijk bestand stuurt en hen overtuigt dit te openen. De ontdekking en rapportage van de fout wordt toegeschreven aan Peter Girnus van Trend Micro, die suggereert dat het een omzeiling zou kunnen zijn voor CVE-2024-21412 of CVE-2023-36025, die eerder werden misbruikt door DarkGate-malware-operators.
Deze ontwikkeling heeft ertoe geleid dat de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) de fouten heeft toegevoegd aan zijn catalogus met bekende misbruikte kwetsbaarheden (KEV). Daarmee zijn federale agentschappen verplicht om de oplossingen uiterlijk 3 september 2024 toe te passen.
Vier van de onderstaande CVE’s zijn als openbaar bekend vermeld:
- CVE-2024-38200 (CVSS-score: 7,5) – Microsoft Office-spoofingkwetsbaarheid
- CVE-2024-38199 (CVSS-score: 9,8) – Windows Line Printer Daemon (LPD) Service kwetsbaarheid voor uitvoering van externe code
- CVE-2024-21302 (CVSS-score: 6,7) – Windows Secure Kernel Mode-kwetsbaarheid voor misbruik van bevoegdheden
- CVE-2024-38202 (CVSS-score: 7,3) – Windows Update Stack Elevation of Privilege-kwetsbaarheid
“Een aanvaller kan misbruik maken van deze kwetsbaarheid door een slachtoffer te verleiden om toegang te krijgen tot een speciaal vervaardigd bestand, waarschijnlijk via een phishing-e-mail”, aldus Scott Caveza, onderzoeksingenieur bij Tenable, over CVE-2024-38200.
“Succesvol misbruik van de kwetsbaarheid kan ertoe leiden dat het slachtoffer New Technology Lan Manager (NTLM)-hashes blootstelt aan een externe aanvaller. NTLM-hashes kunnen worden misbruikt in NTLM-relay- of pass-the-hash-aanvallen om de voet tussen de deur van een aanvaller en een organisatie te vergroten.”
De update lost ook een privilege escalation-fout op in het Print Spooler-component (CVE-2024-38198, CVSS-score: 7,8), waarmee een aanvaller SYSTEM-privileges kan verkrijgen. “Succesvolle exploitatie van deze kwetsbaarheid vereist dat een aanvaller een raceconditie wint”, aldus Microsoft.
Microsoft heeft echter nog geen updates uitgebracht voor CVE-2024-38202 en CVE-2024-21302. Deze kunnen worden misbruikt om downgrade-aanvallen uit te voeren op de Windows-updatearchitectuur en om huidige versies van de besturingssysteembestanden te vervangen door oudere versies.
De onthulling volgt op een rapport van Fortra over een denial-of-service (DoS)-fout in de Common Log File System (CLFS)-driver (CVE-2024-6768, CVSS-score: 6,8) die een systeemcrash en een Blue Screen of Death (BSoD) tot gevolg kan hebben.
Toen Microsoft om commentaar werd gevraagd, vertelde een woordvoerder aan The Hacker News dat het probleem “niet voldoet aan de criteria voor onmiddellijke afhandeling volgens onze richtlijnen voor ernstclassificatie en dat we het zullen overwegen voor een toekomstige productupdate.”
“De beschreven techniek vereist dat een aanvaller al code-uitvoeringsmogelijkheden op de doelmachine heeft verkregen en het verleent geen verhoogde rechten. We moedigen klanten aan om online goede computergewoonten te oefenen, inclusief voorzichtigheid bij het uitvoeren van programma’s die niet door de gebruiker worden herkend”, voegde de woordvoerder toe.
Softwarepatches van andere leveranciers
Naast Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder: