Microsoft Corporation Vandaag pushte het software-updates om meer dan 70 kwetsbaarheden in zijn systeem te dichten ramen Besturingssystemen en aanverwante producten, waaronder twee zero-day-kwetsbaarheden die al worden uitgebuit bij actieve aanvallen.
De top van de stapel in de vetvlek van dinsdag is CVE-2024-21412, een “omzeiling van beveiligingsfuncties” in de manier waarop Windows omgaat met internetsnelkoppelingsbestanden waarvan Microsoft zegt dat ze het doelwit zijn van actieve exploits. Het advies van Redmond over deze bug zegt dat de aanvaller de gebruiker moet overtuigen of misleiden om een kwaadaardig snelkoppelingsbestand te openen.
Onderzoekers binnen TrendMicro Ze koppelden de voortdurende exploitatie van CVE-2024-21412 aan een geavanceerde aanhoudende dreigingsgroep genaamd “Waterhydra“, waarvan ze zeggen dat het de kwetsbaarheid gebruikt om een kwaadaardig Microsoft Installer File-bestand (.msi) uit te voeren dat op zijn beurt een Remote Access Trojan (RAT) op geïnfecteerde Windows-systemen dumpt.
Een ander nadeel van zero day is CVE-2024-21351Nog een beveiligingsbypassfunctie: deze is ingebouwd Windows Smart-scherm Component dat probeert potentieel schadelijke bestanden te scannen die van internet zijn gedownload. Kevin Breen in Meeslepende laboratoria Hij zegt dat het belangrijk is op te merken dat deze kwetsbaarheid alleen niet genoeg is voor een aanvaller om het werkstation van een gebruiker binnen te dringen, maar waarschijnlijk gebruikt zou worden in combinatie met zoiets als een phishing-aanval die een kwaadaardig bestand aflevert.
Satnaam Narangsenior onderzoeksingenieur bij VerdedigbaarHij zei dat dit de vijfde kwetsbaarheid in Windows SmartScreen is die sinds 2022 is gepatcht en dat ze alle vijf in het wild zijn uitgebuit als zero days. Deze omvatten CVE-2022-44698 in december 2022, CVE-2023-24880 in maart 2023, CVE-2023-32049 in juli 2023 en CVE-2023-36025 in november 2023.
Narang riep speciale aandacht op CVE-2024-21410Fout 'Verhooging van bevoegdheden' in Microsoft Exchange-server Waarvan Microsoft zegt dat het mogelijk door aanvallers kan worden misbruikt. Aanvallen op deze fout kunnen NTLM-hashes blootleggen, die kunnen worden gebruikt als onderdeel van een NTLM-relay of een 'hash-passing'-aanval, waardoor een aanvaller zich kan voordoen als een legitieme gebruiker zonder dat hij hoeft in te loggen.
“We weten dat fouten die gevoelige informatie kunnen onthullen, zoals NTLM-hashes, uiterst waardevol zijn voor aanvallers”, aldus Narang. “Een in Rusland gevestigde bedreigingsacteur heeft een soortgelijke kwetsbaarheid misbruikt om aanvallen uit te voeren – CVE-2023-23397 is een kwetsbaarheid voor misbruik van bevoegdheden in Microsoft Outlook die in maart 2023 is gepatcht.”
Microsoft merkt op dat vóór Cumulatieve Update 14 (CU14) voor Exchange Server 2019 een beveiligingsfunctie met de naam Extended Authentication Protection (EPA), die NTLM-relay-beveiliging biedt, standaard niet was ingeschakeld.
“In de toekomst maakt CU14 dit standaard mogelijk op Exchange-servers, daarom is het belangrijk om te upgraden”, aldus Narang.
Hoofdsoftware-ingenieur bij Rapid7 Adam Barnett Hoogtepunt CVE-2024-21413fatale fout bij het uitvoeren van externe code Microsoft Office Deze kan alleen worden uitgebuit door een speciaal vervaardigd bericht weer te geven in het Outlook-voorbeeldvenster.
“Microsoft Office beschermt gebruikers doorgaans tegen een verscheidenheid aan aanvallen door bestanden te openen met de webtag in de Beveiligde Weergave, wat betekent dat Office het document zal weergeven zonder potentieel kwaadaardige externe bronnen op te halen”, aldus Barnett. “CVE-2024-21413 is een kritieke RCE-kwetsbaarheid in Office waarmee een aanvaller een bestand in de bewerkingsmodus kan openen alsof de gebruiker ermee heeft ingestemd het bestand te vertrouwen.”
Barnett benadrukte dat beheerders die verantwoordelijk zijn voor Office 2016-installaties waarbij patches buiten Microsoft Update worden toegepast, advieslijsten moeten noteren van ten minste vijf afzonderlijke patches die moeten worden geïnstalleerd om herstel voor CVE-2024-21413 te bewerkstelligen; In de Knowledge Base (KB)-artikelen met individuele updates wordt ook aangegeven dat gedeeltelijk gepatchte Office-installaties pas kunnen starten als de juiste set patches is geïnstalleerd.
Het is een goed idee voor Windows-eindgebruikers om op de hoogte te blijven van beveiligingsupdates van Microsoft, die zich anders snel kunnen opstapelen. Dit betekent niet dat je ze op Patch Tuesday moet pinnen. In feite is een dag of drie wachten met updaten een logische reactie, aangezien updates soms misgaan en Microsoft eventuele problemen met zijn patches meestal binnen een paar dagen oplost. Het is ook een goed idee om een back-up van uw gegevens te maken en/of een image van uw Windows-station te maken voordat u nieuwe updates toepast.
Voor een gedetailleerder overzicht van de individuele tekortkomingen die Microsoft vandaag aanpakt, zie SANS Internet Storm Center-lijst. Voor beheerders die verantwoordelijk zijn voor het onderhouden van grotere Windows-omgevingen is het vaak handig om deze te monitoren Askwoody.comwat vaak aangeeft dat bepaalde updates van Microsoft voor een aantal gebruikers problemen veroorzaken.
‘Reader. Furious humble travel enthusiast. Extreme food scientist. Writer. Communicator.’
