Microsoft’s update van juli repareert 143 fouten, waaronder twee die actief worden uitgebuit

Microsoft heeft patches uitgebracht om in totaal 143 beveiligingslekken te verhelpen als onderdeel van de maandelijkse beveiligingsupdates. Twee daarvan zijn actief misbruikt.

Vijf van de 143 fouten zijn beoordeeld als Kritiek, 136 als Belangrijk en vier als Matig in ernst. De oplossingen zijn een aanvulling op 33 kwetsbaarheden die de afgelopen maand zijn aangepakt in de Chromium-gebaseerde Edge-browser.

De twee veiligheidstekorten die het voorwerp zijn van misbruik worden hieronder beschreven:

  • CVE-2024-38080 (CVSS-score: 7,8) – Windows Hyper-V-kwetsbaarheid voor misbruik van bevoegdheden
  • CVE-2024-38112 (CVSS-score: 7,5) – Windows MSHTML Platform Spoofing-kwetsbaarheid

“Voor succesvolle exploitatie van deze kwetsbaarheid moet een aanvaller aanvullende maatregelen nemen voorafgaand aan de exploitatie om de doelomgeving voor te bereiden”, aldus Microsoft over CVE-2024-38112. “Een aanvaller zou het slachtoffer een schadelijk bestand moeten sturen dat het slachtoffer moet uitvoeren.”

Haifei Li, beveiligingsonderzoeker bij Check Point, die de fout in mei 2024 ontdekte en meldde, zei dat cybercriminelen gebruikmaken van speciaal ontworpen Windows Internet Shortcut-bestanden (.URL) die slachtoffers, wanneer ze erop klikken, doorsturen naar een schadelijke URL door de verouderde browser Internet Explorer (IE) aan te roepen.

“Een extra truc op IE is om de kwaadaardige .HTA-extensienaam te verbergen,” legde Li uit. “Door de URL te openen met IE in plaats van de moderne en veel veiligere Chrome/Edge-browser op Windows, kreeg de aanvaller aanzienlijke voordelen bij het exploiteren van de computer van het slachtoffer, hoewel de computer het moderne Windows 10/11-besturingssysteem draait.”

“CVE-2024-38080 is een privilege-elevatiefout in Windows Hyper-V”, aldus Satnam Narang, senior staff research engineer bij Tenable. “Een lokale, geauthenticeerde aanvaller zou deze kwetsbaarheid kunnen misbruiken om privileges te verhogen naar SYSTEM-niveau na een eerste inbreuk op een gericht systeem.”

Hoewel de exacte details rondom het misbruik van CVE-2024-38080 momenteel nog onbekend zijn, merkte Narang op dat dit de eerste van de 44 Hyper-V-lekken is die sinds 2022 in het wild worden misbruikt.

Twee andere beveiligingslekken die door Microsoft zijn gepatcht, zijn op het moment van de release als publiekelijk bekend vermeld. Dit omvat een side-channel-aanval genaamd FetchBench (CVE-2024-37985, CVSS-score: 5,9) die een tegenstander in staat zou kunnen stellen om heapgeheugen te bekijken van een geprivilegieerd proces dat op Arm-gebaseerde systemen draait.

De tweede openbaar gemaakte kwetsbaarheid is CVE-2024-35264 (CVSS-score: 8,1), een bug die op afstand code kan uitvoeren en gevolgen heeft voor .NET en Visual Studio.

“Een aanvaller zou dit kunnen misbruiken door een http/3-stream te sluiten terwijl de aanvraagbody wordt verwerkt, wat leidt tot een raceconditie”, aldus Redmond in een advies. “Dit zou kunnen resulteren in uitvoering van externe code.”

Ook zijn er als onderdeel van Patch Tuesday-updates 37 fouten met betrekking tot de uitvoering van code op afstand opgelost die van invloed zijn op de SQL Server Native Client OLE DB Provider, 20 kwetsbaarheden met betrekking tot het omzeilen van de beveiligingsfunctie Secure Boot, drie bugs met betrekking tot de escalatie van bevoegdheden in PowerShell en een kwetsbaarheid met betrekking tot spoofing in het RADIUS-protocol (CVE-2024-3596, ook bekend als BlastRADIUS).

“(De SQL Server-fouten) hebben specifiek betrekking op de OLE DB Provider. Daarom moeten niet alleen SQL Server-instanties worden bijgewerkt, maar moet ook de clientcode die kwetsbare versies van de verbindingsdriver uitvoert, worden aangepakt”, aldus Greg Wiseman, Lead Product Manager bij Rapid7.

“Een aanvaller kan bijvoorbeeld social engineering-tactieken gebruiken om een ​​geauthenticeerde gebruiker ertoe te verleiden verbinding te maken met een SQL Server-database die is geconfigureerd om schadelijke gegevens te retourneren, waardoor willekeurige code op de client kan worden uitgevoerd.”

De lange lijst met patches wordt afgerond door CVE-2024-38021 (CVSS-score: 8,8), een fout in Microsoft Office die het mogelijk maakt om code op afstand uit te voeren. Als deze fout succesvol wordt uitgebuit, kan een aanvaller hoge rechten verkrijgen, waaronder lees-, schrijf- en verwijderfunctionaliteit.

Morphisec meldde het lek eind april 2024 bij Microsoft. Volgens hen is voor de kwetsbaarheid geen authenticatie vereist en vormt het een ernstig risico vanwege het ‘nul-klik’-karakter.

“Aanvallers kunnen deze kwetsbaarheid misbruiken om ongeautoriseerde toegang te krijgen, willekeurige code uit te voeren en aanzienlijke schade te veroorzaken zonder enige interactie van de gebruiker,” aldus Michael Gorelik. “De afwezigheid van authenticatievereisten maakt het bijzonder gevaarlijk, omdat het de deur opent voor wijdverbreide exploitatie.”

De oplossingen zijn doorgevoerd nadat Microsoft eind vorige maand aankondigde dat het in de toekomst CVE-identificaties gaat uitgeven voor beveiligingsproblemen in de cloud. Dit zou moeten leiden tot meer transparantie.

Softwarepatches van andere leveranciers

Naast Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder:

Thijs Van der Does