Tijdens de patchdinsdag van november heeft Microsoft zes actief aangevallen zerodaylekken verholpen. Het gaat onder andere om twee kwetsbaarheden in Exchange Server die in september al bekend werden gemaakt en waarvan velen dachten dat de updates vorige maand al zouden verschijnen. Via deze twee zerodaylekken kan een aanvaller met de inloggegevens van een mailbox de Exchange-server overnemen.

Een kritiek zerodaylek in de Windows Scripting Languages maakt ook remote code execution mogelijk. Alleen het bezoeken van een malafide website of server share volstaat om de aanval uit te voeren, verdere interactie is niet vereist. Deze kwetsbaarheid (CVE-2022-41128) werd door een onderzoeker van Google gevonden. Verder heeft Microsoft ook een zeroday verholpen waardoor het mogelijk is de Mark-of-the-Web (MOTW) beveiliging van Windows te omzeilen.

MOTW zorgt ervoor dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het vanaf internet afkomstig is. Wanneer een bestand van een ongeldige digitale handtekening wordt voorzien zal de waarschuwing niet verschijnen. Criminelen hebben dit probleem onder andere misbruikt voor de verspreiding van ransomware.

De overige twee zerodaylekken (CVE-2022-41125 en CVE-2022-41073) bevinden zich in de Windows CNG Key Isolation Service en Windows Print Spooler en maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen en zo volledige controle over het systeem te krijgen. Deze twee kwetsbaarheden zijn zelf door Microsoft gevonden. Het techbedrijf geeft geen details over de waargenomen aanvallen en wie doelwit waren. De updates worden op de meeste systemen automatisch geïnstalleerd.