Microsoft sloot zijn Patch Tuesday-updates voor 2024 af met oplossingen voor in totaal 72 beveiligingsfouten in zijn softwareportfolio, waaronder één waarvan naar verluidt in het wild werd uitgebuit.
Van de 72 tekortkomingen worden er 17 beoordeeld als kritiek, 54 als belangrijk en één als matig. Eenendertig van de kwetsbaarheden zijn fouten bij het uitvoeren van code op afstand, en 27 daarvan maken het mogelijk om bevoegdheden uit te breiden.
Dit komt bovenop de dertien kwetsbaarheden die het bedrijf heeft aangepakt in zijn Chromium-gebaseerde Edge-browser sinds de release van de beveiligingsupdate van vorige maand. In totaal heeft Microsoft alleen al in 2024 maar liefst 1088 kwetsbaarheden opgelost, per Fortra.
De kwetsbaarheid waarvan Microsoft heeft erkend dat deze actief wordt misbruikt, is CVE-2024-49138 (CVSS-score: 7,8), een escalatiefout in de Windows Common Log File System (CLFS)-driver.
“Een aanvaller die deze kwetsbaarheid met succes misbruikt, zou SYSTEEMrechten kunnen verkrijgen”, zei het bedrijf in een adviserend advies, waarbij cyberbeveiligingsbedrijf CrowdStrike de eer kreeg voor het ontdekken en rapporteren van de fout.
Het is vermeldenswaard dat CVE-2024-49138 de vijfde actief misbruikte escalatiefout in CLFS-rechten is sinds 2022, na CVE-2022-24521, CVE-2022-37969, CVE-2023-23376 en CVE-2023-28252 (CVSS-scores: 7,8). ). Het is ook de negende kwetsbaarheid in hetzelfde onderdeel die dit jaar wordt gepatcht.
“Hoewel details over in-the-wild exploitatie nog niet bekend zijn, is het, terugkijkend op de geschiedenis van kwetsbaarheden in CLFS-stuurprogramma’s, interessant om op te merken dat ransomware-operators de afgelopen jaren een voorliefde hebben ontwikkeld voor het exploiteren van CLFS-misbruik van privileges. Satnam Narang, senior research engineer bij Tenable, vertelde The Hacker News.
“In tegenstelling tot geavanceerde persistente dreigingsgroepen die zich doorgaans richten op precisie en geduld, zijn ransomware-exploitanten en aangesloten bedrijven op alle mogelijke manieren gefocust op de smash-and-grab-tactieken. Door gebruik te maken van misbruik van privileges, zoals deze in CLFS, kunnen ransomware-partners zich door een bepaalde situatie heen bewegen. netwerk om gegevens te stelen en te versleutelen en hun slachtoffers af te persen.”
Het feit dat CLFS een aantrekkelijk aanvalspad voor kwaadwillende actoren is geworden, is niet onopgemerkt gebleven door Microsoft, dat zegt te werken aan het toevoegen van een nieuwe verificatiestap bij het parseren van dergelijke logbestanden.
“In plaats van te proberen individuele waarden in de datastructuren van logbestanden te valideren, biedt deze beveiligingsmaatregel CLFS de mogelijkheid om te detecteren wanneer logbestanden zijn gewijzigd door iets anders dan het CLFS-stuurprogramma zelf”, merkte Microsoft eind augustus 2024 op. “Dit is bereikt door op hash gebaseerde berichtauthenticatiecodes (HMAC) toe te voegen aan het einde van het logbestand.”
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft de fout sindsdien toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor de Federal Civilian Executive Branch (FCEB)-agentschappen de noodzakelijke herstelmaatregelen vóór 31 december 2024 moeten toepassen.
De grootste bug in de release van deze maand is een fout bij het uitvoeren van externe code die gevolgen heeft voor Windows Lightweight Directory Access Protocol (LDAP). Het wordt bijgehouden als CVE-2024-49112 (CVSS-score: 9,8).
“Een niet-geverifieerde aanvaller die met succes misbruik maakt van dit beveiligingslek, kan code-uitvoering verkrijgen via een speciaal vervaardigde set LDAP-aanroepen om willekeurige code uit te voeren binnen de context van de LDAP-service”, aldus Microsoft.
Ook opmerkelijk zijn twee andere fouten bij het uitvoeren van externe code die gevolgen hebben voor Windows Hyper-V (CVE-2024-49117, CVSS-score: 8,8), Remote Desktop Client (CVE-2024-49105, CVSS-score: 8,4) en Microsoft Muzic (CVE- 2024-49063, CVSS-score: 8,4).
De ontwikkeling komt op het moment dat 0patch onofficiële oplossingen heeft uitgebracht voor een Windows zero-day-kwetsbaarheid waarmee aanvallers NT LAN Manager (NTLM)-referenties kunnen onderscheppen. Aanvullende details over de fout zijn achtergehouden totdat er een officiële patch beschikbaar komt.
“Dankzij het beveiligingslek kan een aanvaller de NTLM-inloggegevens van een gebruiker verkrijgen door de gebruiker eenvoudigweg een kwaadaardig bestand in Windows Verkenner te laten bekijken, bijvoorbeeld door een gedeelde map of USB-schijf met een dergelijk bestand te openen, of door de map Downloads te bekijken waar een dergelijk bestand eerder automatisch werd gedownload van de webpagina van de aanvaller’, zei Mitja Kolsek.
Eind oktober kwamen er ook gratis onofficiële patches beschikbaar om een zero-day-kwetsbaarheid in Windows Themes aan te pakken, waardoor aanvallers op afstand de NTLM-referenties van een doelwit kunnen stelen.
0patch heeft ook micropatches uitgegeven voor een andere voorheen onbekende kwetsbaarheid op Windows Server 2012 en Server 2012 R2 waarmee een aanvaller Mark-of-the-Web (MotW)-beveiligingen voor bepaalde typen bestanden kan omzeilen. Aangenomen wordt dat de kwestie ruim twee jaar geleden is geïntroduceerd.
Nu NTLM op grote schaal wordt uitgebuit via relay- en pass-the-hash-aanvallen, heeft Microsoft plannen aangekondigd om het verouderde authenticatieprotocol af te schaffen ten gunste van Kerberos. Bovendien heeft het de stap gezet om Extended Protection for Authentication (EPA) standaard in te schakelen voor nieuwe en bestaande installaties van Exchange 2019.
Microsoft zei dat het een soortgelijke beveiligingsverbetering heeft doorgevoerd voor Azure Directory Certificate Services (AD CS) door EPA standaard in te schakelen met de release van Windows Server 2025, die ook de ondersteuning voor NTLM v1 verwijdert en NTLM v2 afschaft. Deze wijzigingen zijn ook van toepassing op Windows 11 24H2.
“Bovendien heeft LDAP, als onderdeel van dezelfde Windows Server 2025-release, nu kanaalbinding standaard ingeschakeld”, zei het beveiligingsteam van Redmond eerder deze week. “Deze beveiligingsverbeteringen verkleinen het risico dat NTLM-aanvallen standaard worden doorgegeven via drie lokale services: Exchange Server, Active Directory Certificate Services (AD CS) en LDAP.”
“Naarmate we vooruitgang boeken in de richting van het standaard uitschakelen van NTLM, versterken onmiddellijke veranderingen op de korte termijn, zoals het inschakelen van EPA in Exchange Server, AD CS en LDAP, een ‘standaard veilige’ houding en beschermen we gebruikers tegen aanvallen uit de echte wereld.”
Softwarepatches van andere leveranciers
Buiten Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder:
