Microsoft heeft patches uitgebracht om 73 beveiligingsfouten in zijn softwareaanbod aan te pakken als onderdeel van de Patch Tuesday-updates voor februari 2024, waaronder twee zero-days die actief worden uitgebuit.
Van de 73 kwetsbaarheden worden er 5 als kritiek beoordeeld, 65 als belangrijk en drie als matig qua ernst. Dit komt bovenop de 24 fouten die zijn opgelost in de Chromium-gebaseerde Edge-browser sinds de release van de Patch Tuesday-updates van 24 januari.
Hieronder vindt u de twee fouten die op het moment van uitgave actief worden aangevallen:
- CVE-2024-21351 (CVSS-score: 7,6) – Beveiligingsfunctie van Windows SmartScreen omzeilt kwetsbaarheid
- CVE-2024-21412 (CVSS-score: 8.1) – Beveiligingsfunctie voor internetsnelkoppelingen omzeilt kwetsbaarheid
“Door de kwetsbaarheid kan een kwaadwillende actor code in SmartScreen injecteren en mogelijk code-uitvoering verkrijgen, wat mogelijk kan leiden tot enige gegevensblootstelling, gebrek aan systeembeschikbaarheid of beide”, zei Microsoft over CVE-2024-21351.
Succesvol misbruik van de fout zou een aanvaller in staat kunnen stellen de SmartScreen-beveiligingen te omzeilen en willekeurige code uit te voeren. Om de aanval te laten werken, moet de bedreigingsacteur de gebruiker echter een kwaadaardig bestand sturen en de gebruiker ervan overtuigen dit te openen.
Met CVE-2024-21412 kan een niet-geverifieerde aanvaller op vergelijkbare wijze de weergegeven beveiligingscontroles omzeilen door een speciaal vervaardigd bestand naar een beoogde gebruiker te sturen.
“De aanvaller zou echter geen manier hebben om een gebruiker te dwingen de door de aanvaller gecontroleerde inhoud te bekijken.” merkte Redmond op. “In plaats daarvan zou de aanvaller hen moeten overtuigen actie te ondernemen door op de bestandslink te klikken.”
CVE-2024-21351 is de tweede bypass-bug die in SmartScreen is ontdekt, na CVE-2023-36025 (CVSS-score: 8,8), die in november 2023 door de technologiegigant werd gedicht. De fout is sindsdien door meerdere hackgroepen uitgebuit om vermenigvuldigen DarkGate, Phemedrone Stealer en Mispadu.
Trend Micro, waarin een aanvalscampagne werd beschreven die werd ondernomen door Water Hydra (ook bekend als DarkCasino) gericht op financiële markthandelaren door middel van een geavanceerde zero-day aanvalsketen die gebruik maakt van CVE-2024-21412, beschreef CVE-2024-21412 als een bypass voor CVE-2023. -36025, waardoor bedreigingsactoren SmartScreen-controles kunnen omzeilen.
Water Hydra, voor het eerst ontdekt in 2021, heeft een trackrecord in het lanceren van aanvallen op banken, cryptocurrency-platforms, handelsdiensten, goksites en casino’s om een trojan met de naam DarkMe af te leveren met behulp van zero-day exploits, waaronder de WinRAR-fout die aan het licht kwam in 2021. Augustus 2023 (CVE-2023-38831, CVSS-score: 7,8).
Eind vorig jaar heeft het Chinese cyberbeveiligingsbedrijf NSFOCUS de ‘economisch gemotiveerde’ hackgroep gegradueerd naar een geheel nieuwe geavanceerde persistente dreiging (APT).
“In januari 2024 heeft Water Hydra zijn infectieketen geüpdatet door gebruik te maken van CVE-2024-21412 om een kwaadaardig Microsoft Installer File (.MSI) uit te voeren, waardoor het DarkMe-infectieproces werd gestroomlijnd”, aldus Trend Micro.
Beide kwetsbaarheden zijn sindsdien toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus door de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), waarbij federale instanties worden opgeroepen om de nieuwste updates vóór 5 maart 2024 toe te passen.
Ook door Microsoft gepatcht zijn vijf kritieke fouten:
- CVE-2024-20684 (CVSS-score: 6,5) – Beveiligingslek in Windows Hyper-V Denial of Service
- CVE-2024-21357 (CVSS-score: 7,5) – Beveiligingslek bij het uitvoeren van externe code in Windows Pragmatic General Multicast (PGM)
- CVE-2024-21380 (CVSS-score: 8,0) – Beveiligingslek met betrekking tot het vrijgeven van informatie in Microsoft Dynamics Business Central/NAV
- CVE-2024-21410 (CVSS-score: 9,8) – Beveiligingslek met betrekking tot misbruik van bevoegdheden in Microsoft Exchange Server
- CVE-2024-21413 (CVSS-score: 9,8) – Beveiligingslek bij het uitvoeren van externe code in Microsoft Outlook
“CVE-2024-21410 is een kwetsbaarheid voor misbruik van bevoegdheden in Microsoft Exchange Server”, zegt Satnam Narang, senior research engineer bij Tenable, in een verklaring. “Volgens Microsoft is de kans groter dat deze fout door aanvallers wordt uitgebuit.”
“Het misbruiken van dit beveiligingslek zou kunnen resulteren in het openbaar maken van de Net-New Technology LAN Manager (NTLM) versie 2-hash van een beoogde gebruiker, die zou kunnen worden teruggestuurd naar een kwetsbare Exchange Server in een NTLM-relay of pass-the-hash-aanval, wat zou kunnen leiden tot laat de aanvaller zich identificeren als de beoogde gebruiker.”
De beveiligingsupdate lost verder 15 fouten bij het uitvoeren van externe code op in de Microsoft WDAC OLE DB-provider voor SQL Server, die een aanvaller zou kunnen misbruiken door een geverifieerde gebruiker te misleiden zodat hij probeert verbinding te maken met een kwaadaardige SQL-server via OLEDB.
De patch wordt afgerond met een oplossing voor CVE-2023-50387 (CVSS-score: 7,5), een 24 jaar oude ontwerpfout in de DNSSEC-specificatie die kan worden misbruikt om CPU-bronnen uit te putten en DNS-resolvers te blokkeren, resulterend in een weigering- van dienst (DoS).
Het beveiligingslek heeft de codenaam KeyTrap gekregen van het National Research Center for Applied Cybersecurity (ATHENE) in Darmstadt.
“Ze hebben aangetoond dat de aanval met slechts één enkel DNS-pakket de CPU kan uitputten en alle veelgebruikte DNS-implementaties en openbare DNS-providers, zoals Google Public DNS en Cloudflare, kan blokkeren”, aldus de onderzoekers. “In feite kan de populaire BIND 9 DNS-implementatie wel 16 uur lang worden stilgelegd.”
Softwarepatches van andere leveranciers
Naast Microsoft zijn er sinds het begin van de maand ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder:
