Microsoft heeft dinsdag onthuld dat twee beveiligingsfouten die van invloed zijn op Windows NT LAN Manager (NTLM) en Task Scheduler actief in het wild worden uitgebuit.
De beveiligingsproblemen behoren tot de 90 beveiligingsproblemen die de technologiegigant heeft aangepakt als onderdeel van de Patch Tuesday-update voor november 2024. Van de 90 fouten zijn er vier als kritiek, 85 als belangrijk en één als matig qua ernst. Tweeënvijftig van de gepatchte kwetsbaarheden zijn fouten in de uitvoering van externe code.
De oplossingen vormen een aanvulling op 31 kwetsbaarheden die Microsoft heeft opgelost in zijn Chromium-gebaseerde Edge-browser sinds de release van de Patch Tuesday-update van oktober 2024. De twee kwetsbaarheden waarvan is vermeld dat ze actief worden uitgebuit, staan hieronder:
- CVE-2024-43451 (CVSS-score: 6,5) – Beveiligingslek in Windows NTLM Hash Disclosure Spoofing
- CVE-2024-49039 (CVSS-score: 8,8) – Beveiligingslek met betrekking tot misbruik van bevoegdheden in Windows Taakplanner
“Deze kwetsbaarheid maakt de NTLMv2-hash van een gebruiker bekend aan de aanvaller, die deze zou kunnen gebruiken om zich als gebruiker te authenticeren”, zei Microsoft in een advies voor CVE-2024-43451, waarbij ClearSky-onderzoeker Israel Yeshurun de eer kreeg om de fout te ontdekken en te rapporteren.
Het is vermeldenswaard dat CVE-2024-43451 de derde fout is na CVE-2024-21410 (gepatcht in februari) en CVE-2024-38021 (gepatcht in juli) die kan worden gebruikt om de NTLMv2-hash van een gebruiker te onthullen en is uitgebuit in alleen al dit jaar in het wild.
“Aanvallers blijven onvermurwbaar in het ontdekken en exploiteren van zero-day-kwetsbaarheden die NTLMv2-hashes kunnen onthullen, omdat ze kunnen worden gebruikt om zich bij systemen te authenticeren en mogelijk lateraal binnen een netwerk te bewegen om toegang te krijgen tot andere systemen”, zegt Satnam Narang, senior research engineer bij Tenable, aldus een verklaring.
CVE-2024-49039 daarentegen zou een aanvaller in staat kunnen stellen RPC-functies uit te voeren die anders beperkt zijn tot bevoorrechte accounts. Microsoft merkt echter op dat succesvolle exploitatie vereist dat een geverifieerde aanvaller een speciaal vervaardigde applicatie op het doelsysteem uitvoert om eerst zijn bevoegdheden naar een gemiddeld integriteitsniveau te verhogen.
Vlad Stolyarov en Bahare Sabouri van Google’s Threat Analysis Group (TAG) en een anonieme onderzoeker zijn erkend voor het melden van de kwetsbaarheid. Dit vergroot de mogelijkheid dat de zero-day-exploitatie van het lek in verband wordt gebracht met een of andere natiestaatgebonden groep of een geavanceerde persistente dreiging (APT).
Er zijn momenteel geen inzichten in hoe de tekortkomingen in het wild worden uitgebuit of hoe wijdverspreid deze aanvallen zijn, maar de ontwikkeling heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet om ze toe te voegen aan de Known Exploited Vulnerabilities (KEV)-catalogus.
Een van de openbaar gemaakte, maar nog niet uitgebuit, zero-day-fouten is CVE-2024-49019 (CVSS-score: 7,8), een kwetsbaarheid voor escalatie van bevoegdheden in Active Directory Certificate Services die kan worden gebruikt om domeinbeheerdersrechten te verkrijgen. Details van de kwetsbaarheid, genaamd EKUwu, werden vorige maand gedocumenteerd door TrustedSec.
Een andere opmerkelijke kwetsbaarheid is CVE-2024-43498 (CVSS-score: 9,8), een kritieke fout bij het uitvoeren van externe code in .NET en Visual Studio die een niet-geverifieerde externe aanvaller kan misbruiken door speciaal vervaardigde verzoeken naar een kwetsbare .NET-webapp te sturen of door het laden van een speciaal vervaardigd bestand in een kwetsbare desktop-app.
De update repareert ook een kritieke fout in het cryptografische protocol die invloed heeft op Windows Kerberos (CVE-2024-43639, CVSS-score: 9.8) en die door een niet-geverifieerde aanvaller kan worden misbruikt om externe code uit te voeren.
Het hoogst gewaardeerde beveiligingslek in de release van deze maand is een fout bij het uitvoeren van externe code in Azure CycleCloud (CVE-2024-43602, CVSS-score: 9,9), waardoor een aanvaller met basisgebruikersrechten rechten op rootniveau kan verkrijgen.
“Het exploitatiegemak was net zo eenvoudig als het sturen van een verzoek naar een kwetsbaar AzureCloud CycleCloud-cluster dat de configuratie ervan zou wijzigen”, aldus Narang. “Naarmate organisaties steeds meer gebruik gaan maken van cloudbronnen, wordt het aanvalsoppervlak daardoor groter.”
Ten slotte is een niet door Microsoft uitgegeven CVE die door Redmond wordt aangepakt een fout bij het uitvoeren van externe code in OpenSSL (CVE-2024-5535, CVSS-score: 9.1). Het werd oorspronkelijk gepatcht door OpenSSL-onderhouders in juni 2024.
“Voor misbruik van dit beveiligingslek is het nodig dat een aanvaller via e-mail een kwaadaardige link naar het slachtoffer stuurt, of dat hij de gebruiker overtuigt om op de link te klikken, meestal door middel van een verleiding in een e-mail of Instant Messenger-bericht”, aldus Microsoft.
“In het ergste geval kan een aanvaller een speciaal vervaardigde e-mail naar de gebruiker sturen zonder dat het slachtoffer de link hoeft te openen, lezen of erop klikken. Dit kan ertoe leiden dat de aanvaller externe code uitvoert op de machine van het slachtoffer .”
Gelijktijdig met de beveiligingsupdate van november kondigde Microsoft ook de adoptie aan van het Common Security Advisory Framework (CSAF), een OASIS-standaard voor het openbaar maken van kwetsbaarheden in machinaal leesbare vorm, voor alle CVE’s om de respons- en herstelinspanningen te versnellen.
“CSAF-bestanden zijn meer bedoeld om door computers te worden geconsumeerd dan door mensen, dus voegen we CSAF-bestanden toe als aanvulling op onze bestaande CVE-datakanalen in plaats van als vervanging”, aldus het bedrijf. “Dit is het begin van een traject om de transparantie rond onze toeleveringsketen te blijven vergroten en de kwetsbaarheden die we aanpakken en oplossen in onze gehele toeleveringsketen, inclusief Open Source Software ingebed in onze producten.”
Softwarepatches van andere leveranciers
Behalve Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder:
