Microsoft heeft vandaag software-updates uitgebracht om er minstens vier dozijn beveiligingslekken in te dichten ramen besturingssystemen en andere software, inclusief patches voor twee zero-day-kwetsbaarheden die al bij actieve aanvallen worden gebruikt.
De eerste zero-day-kwetsbaarheden in mei zijn CVE-2023-29336, een beveiligingslek met “verhoging van privileges” in Windows met een lage aanvalscomplexiteit, lage privileges en geen gebruikersinteractie. Echter, zoals de SANS Internet Storm Center wijst erop dat de aanvalsvector voor deze bug lokaal is.
“Kwetsbaarheden in lokale privilege-escalatie vormen een belangrijk onderdeel van de doelen van aanvallers”, zei hij Kevin Breendirecteur van onderzoek naar cyberdreigingen bij Meeslepende laboratoria. “Zodra ze de eerste toegang hebben verkregen, zullen ze op beheerders- of SYSTEEMniveau machtigingen zoeken. Dit kan een aanvaller in staat stellen beveiligingstools uit te schakelen en meer aanvallertools zoals Mimikatz te ontwikkelen waarmee ze zich door het netwerk kunnen verplaatsen en doorzettingsvermogen kunnen krijgen.”
De zero-day-patch die tot nu toe de meeste aandacht heeft gekregen, is CVE-2023-24932. Omzeil Secure Boot-beveiligingsfuncties fout actief uitgebuit door “bootkit” malware bekend als “BlackLotus”. Een bootkit is gevaarlijk omdat het een aanvaller in staat stelt malware te laden voordat het besturingssysteem zelfs maar start.
Volgens het advies van Microsoft zou een aanvaller fysieke toegang of beheerdersrechten tot een doelapparaat nodig hebben en vervolgens een aangetast opstartbeleid kunnen installeren. Microsoft geeft deze fout een CVSS-score van slechts 6,7 en beoordeelt het als “Belangrijk”.
Adam Barnetthoofdsoftware-engineer bij Snel7zei dat CVE-2023-24932 een aanzienlijk hogere dreigingsscore verdient.
“Microsoft waarschuwt dat een aanvaller die al beheerderstoegang heeft tot een niet-gepatchte component CVE-2023-24932 kan misbruiken zonder noodzakelijkerwijs fysieke toegang te hebben”, aldus Barnett. “Daarom is de relatief lage baseline CVSSv3-score van 6,7 in dit geval niet noodzakelijkerwijs een betrouwbare maatstaf.”
Barnett zei dat Microsoft een aanvullend begeleidingsartikel heeft verstrekt waarin specifiek de dreiging wordt benadrukt die uitgaat van de BlackLotus-malware, die het besturingssysteem op gecompromitteerde activa laadt en aanvallers een reeks krachtige ontduiking, persistentie en Command & Control (C2) biedt, inclusief het inzetten van schadelijke kernelstuurprogramma’s en het uitschakelen van Microsoft Defender of Bitlocker.
“Beheerders moeten zich ervan bewust zijn dat er aanvullende acties nodig zijn die verder gaan dan alleen het aanbrengen van de patches”, adviseert Barnett. “De patch maakt configuratie-opties mogelijk die nodig zijn voor bescherming, maar beheerders moeten na de patch wijzigingen aanbrengen in de UEFI-configuratie. Het aanvalsoppervlak is ook niet beperkt tot fysieke activa. Windows-componenten die op sommige VM’s draaien, inclusief Azure-componenten met Secure Boot ingeschakeld, ook hebben deze aanvullende herstelstappen nodig voor bescherming. Rapid7 heeft eerder opgemerkt dat het inschakelen van Secure Boot een fundamentele verdediging is tegen op stuurprogramma’s gebaseerde aanvallen. Verdedigers negeren deze kwetsbaarheid met risico’s.
Naast de twee nuldagen die deze maand zijn opgelost, patcht Microsoft ook vijf RCE-fouten (Remote Code Execution) in Windows, waarvan er twee bijzonder hoge CVSS-scores hebben.
CVE-2023-24941 is van invloed op het Windows Network File System en kan via het netwerk worden misbruikt door een niet-geverifieerd, speciaal vervaardigd verzoek te doen. Het advies van Microsoft omvat ook mitigatieadvies. De CVSS voor deze kwetsbaarheid is 9,8 – de hoogste van alle fouten die deze maand zijn verholpen.
Ondertussen is CVE-2023-28283 een kritieke fout in Windows Lightweight Directory Access Protocol (LDAP) waarmee een niet-geverifieerde aanvaller kwaadaardige code op het kwetsbare apparaat kan uitvoeren. De CVSS voor deze kwetsbaarheid is 8.1, maar Microsoft zegt dat het misbruiken van de fout moeilijk en onbetrouwbaar kan zijn voor aanvallers.
Een andere kwetsbaarheid die deze maand is gepatcht en die voor vandaag openbaar is gemaakt (maar nog niet in het wild is uitgebuit) is CVE-2023-29325, een zwak punt in Microsoft Outlook En Ontdekkingsreiziger die door aanvallers kunnen worden misbruikt om op afstand malware te installeren. Microsoft zegt dat dit beveiligingslek eenvoudig kan worden misbruikt door een speciaal vervaardigde e-mail in het voorbeeldvenster van Outlook te bekijken.
“Om te helpen beschermen tegen deze kwetsbaarheid, raden we gebruikers aan om e-mailberichten in platte tekst te lezen”, adviseert Microsoft’s CVE-2023-29325-item.
“Als een aanvaller deze kwetsbaarheid kan misbruiken, krijgen ze op afstand toegang tot het account van het slachtoffer, waar ze extra malware kunnen inzetten”, aldus Breen van Immersive. “Dit type exploit zal zeer gewild zijn bij cybercriminaliteit en ransomware-groepen, waar het, indien succesvol bewapend, met zeer weinig moeite kan worden gebruikt om honderden organisaties aan te vallen.”
Bekijk voor meer informatie over de updates die vandaag zijn uitgebracht de Action1-, Automox- en Qualys-razzia’s. Als de updates van vandaag stabiliteits- of bruikbaarheidsproblemen veroorzaken in Windows, zal AskWoody.com waarschijnlijk lager gerangschikt worden.
Overweeg een back-up te maken van uw gegevens en/of een image van uw systeem te maken voordat u updates toepast. En voel je vrij om in de commentaren te klinken als je problemen ondervindt als gevolg van deze patches.
