Microsoft heeft in totaal 48 beveiligingsfouten in zijn software aangepakt als onderdeel van de Patch Tuesday-updates voor januari 2024.
Van de 48 bugs zijn er twee beoordeeld als Kritiek en 46 als Belangrijk qua ernst. Er is geen bewijs dat een van de problemen publiekelijk bekend is of actief wordt aangevallen op het moment van release, waardoor het de tweede opeenvolgende Patch Tuesday is zonder zero-days.
De oplossingen vormen een aanvulling op negen beveiligingsproblemen die zijn opgelost in de Chromium-gebaseerde Edge-browser sinds de release van Patch Tuesday-updates van december 2023. Dit omvat ook een oplossing voor een zero-day (CVE-2023-7024, CVSS-score: 8,8) waarvan Google zegt dat deze actief in het wild wordt uitgebuit.
De meest kritieke fouten die deze maand zijn verholpen, zijn als volgt:
- CVE-2024-20674 (CVSS-score: 9.0) – Windows Kerberos-beveiligingsfunctie omzeilt het beveiligingslek
- CVE-2024-20700 (CVSS-score: 7,5) – Beveiligingslek bij het uitvoeren van externe code in Windows Hyper-V
“De authenticatiefunctie kan worden omzeild omdat deze kwetsbaarheid nabootsing van identiteit mogelijk maakt”, aldus Microsoft in een advies voor CVE-2024-20674.
“Een geverifieerde aanvaller kan misbruik maken van dit beveiligingslek door een machine-in-the-middle (MitM) aanval of een andere lokale netwerk-spoofing-techniek uit te voeren en vervolgens een kwaadaardig Kerberos-bericht naar de client-slachtoffermachine te sturen om zichzelf te vervalsen als de Kerberos-authenticatieserver.”
Het bedrijf merkte echter op dat succesvolle exploitatie vereist dat een aanvaller eerst toegang krijgt tot het beperkte netwerk. Beveiligingsonderzoeker ldwilmore34 is gecrediteerd voor het ontdekken en rapporteren van de fout.
CVE-2024-20700 vereist daarentegen geen authenticatie of gebruikersinteractie om code-uitvoering op afstand te bewerkstelligen, hoewel het winnen van een race condition een voorwaarde is voor het organiseren van een aanval.
“Het is niet precies duidelijk waar de aanvaller zich precies moet bevinden – het LAN waarop de hypervisor zich bevindt, of een virtueel netwerk dat door de hypervisor is gecreëerd en beheerd – of in welke context de uitvoering van de externe code zou plaatsvinden”, zegt Adam Barnett, hoofd software. ingenieur bij Rapid7, vertelde The Hacker News.
Andere opmerkelijke tekortkomingen zijn onder meer CVE-2024-20653 (CVSS-score: 7,8), een fout in de escalatie van bevoegdheden die van invloed is op het Common Log File System (CLFS)-stuurprogramma, en CVE-2024-0056 (CVSS-score: 8,7), een beveiligingsomzeiling die gevolgen heeft voor het systeem. Data.SqlClient en Microsoft.Data.SqlClient.
“Een aanvaller die dit beveiligingslek succesvol weet te misbruiken, kan een machine-in-the-middle-aanval (MitM) uitvoeren en TLS-verkeer tussen de client en de server decoderen en lezen of wijzigen”, aldus Redmond.
Microsoft merkte verder op dat het de mogelijkheid om FBX-bestanden in Word, Excel, PowerPoint en Outlook in Windows standaard in te voegen, uitschakelt vanwege een beveiligingsfout (CVE-2024-20677, CVSS-score: 7,8) die zou kunnen leiden tot uitvoering van externe code.
“3D-modellen in Office-documenten die eerder vanuit een FBX-bestand zijn ingevoegd, blijven werken zoals verwacht, tenzij de optie ‘Link naar bestand’ werd gekozen tijdens het invoegen”, zei Microsoft in een afzonderlijke waarschuwing. “GLB (Binary GL Transmission Format) is het aanbevolen vervangende 3D-bestandsformaat voor gebruik in Office.”
Het is vermeldenswaard dat Microsoft een soortgelijke stap heeft gezet door het SketchUp-bestandsformaat (SKP) in Office uit te schakelen na de ontdekking door ZScaler van 117 beveiligingsfouten in Microsoft 365-applicaties.
Softwarepatches van andere leveranciers
Naast Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder –
