Microsoft heeft in totaal 61 nieuwe beveiligingsfouten in zijn software aangepakt als onderdeel van de Patch Tuesday-updates voor mei 2024, waaronder twee zero-days die actief in het wild zijn uitgebuit.
Van de 61 tekortkomingen wordt er één beoordeeld als Kritiek, 59 als Belangrijk en één als Matig. Dit komt bovenop de dertig kwetsbaarheden die de afgelopen maand in de Chromium-gebaseerde Edge-browser zijn opgelost, waaronder twee onlangs bekendgemaakte zero-days (CVE-2024-4671 en CVE-2024-4761) die zijn getagd als misbruikt bij aanvallen.
De twee veiligheidstekortkomingen die in het wild zijn bewapend, staan hieronder:
- CVE-2024-30040 (CVSS-score: 8,8) – Windows MSHTML Platform-beveiligingsfunctie omzeilt kwetsbaarheid
- CVE-2024-30051 (CVSS-score: 7,8) – Beveiligingslek inzake misbruik van bevoegdheden in de Windows Desktop Window Manager (DWM) kernbibliotheek
“Een niet-geverifieerde aanvaller die met succes misbruik maakt van dit beveiligingslek, kan code-uitvoering verkrijgen door een gebruiker ervan te overtuigen een kwaadaardig document te openen, waarna de aanvaller willekeurige code kan uitvoeren in de context van de gebruiker”, aldus de technologiegigant in een advies voor CVE-2024. -30040.
Succesvolle exploitatie vereist echter dat een aanvaller de gebruiker ervan overtuigt een speciaal vervaardigd bestand op een kwetsbaar systeem te laden, verspreid via e-mail of een expresbericht, en hem te misleiden om het te manipuleren. Interessant genoeg hoeft het slachtoffer niet op het kwaadaardige bestand te klikken of het te openen om de infectie te activeren.
Aan de andere kant kan CVE-2024-30051 een bedreigingsactor in staat stellen SYSTEEMrechten te verwerven. Drie groepen onderzoekers van Kaspersky, DBAPPSecurity WeBin Lab, Google Threat Analysis Group en Mandiant zijn gecrediteerd voor het ontdekken en rapporteren van de fout, wat wijst op waarschijnlijke wijdverbreide exploitatie.
“We hebben gezien dat het samen met QakBot en andere malware wordt gebruikt en geloven dat meerdere bedreigingsactoren er toegang toe hebben”, aldus Kaspersky-onderzoekers Boris Larin en Mert Degirmenci.
Beide kwetsbaarheden zijn door de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor federale instanties de nieuwste oplossingen vóór 4 juni 2024 moeten toepassen.
Ook opgelost door Microsoft zijn verschillende bugs bij het uitvoeren van externe code, waaronder negen die van invloed zijn op het Windows Mobile Broadband Driver en zeven op Windows Routing and Remote Access Service (RRAS).
Andere opmerkelijke tekortkomingen zijn onder meer tekortkomingen in de escalatie van bevoegdheden in het Common Log File System (CLFS)-stuurprogramma – CVE-2024-29996, CVE-2024-30025 (CVSS-scores: 7,8) en CVE-2024-30037 (CVSS-score: 7,5) – Win32k (CVE-2024-30028 en CVE-2024-30030, CVSS-scores: 7,8), Windows Search Service (CVE-2024-30033, CVSS-score: 7,0) en Windows Kernel (CVE-2024-30018, CVSS-score: 7,8) .
In maart 2024 onthulde Kaspersky dat bedreigingsactoren actief proberen misbruik te maken van de nu gepatchte escalatiefouten van privileges in verschillende Windows-componenten, vanwege het feit dat “het een zeer gemakkelijke manier is om snel een NT AUTHORITYSYSTEM te krijgen.”
Akamai heeft verder een nieuwe escalatietechniek voor bevoegdheden uiteengezet die van invloed is op Active Directory (AD)-omgevingen en die gebruik maakt van de DHCP-beheerdersgroep.
“In gevallen waarin de DHCP-serverrol op een domeincontroller (DC) is geïnstalleerd, kan dit hen in staat stellen domeinbeheerdersrechten te verkrijgen”, aldus het bedrijf. “Naast het bieden van een primitieve escalatie van privileges, zou dezelfde techniek ook kunnen worden gebruikt om een heimelijk mechanisme voor domeinpersistentie te creëren.
De lijst wordt afgerond met een beveiligingsfunctie die de kwetsbaarheid omzeilt (CVE-2024-30050, CVSS-score: 5,4) die van invloed is op Windows Mark-of-the-Web (MotW) en die kan worden misbruikt door middel van een kwaadaardig bestand om de verdediging te omzeilen.
Softwarepatches van andere leveranciers
Naast Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder: