Microsoft verhelpt aangevallen zerodays in Windows-kernel en Secure Boot
Tijdens de patchdinsdag van mei heeft Microsoft 38 kwetsbaarheden verholpen, waaronder twee actief aangevallen zerodaylekken. Het gaat om beveiligingslekken in de Windows-kernel en Secure Boot. De kwetsbaarheid in de kernel maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft om zijn rechten te verhogen en code met systeemrechten uit te voeren. Daardoor is het mogelijk om volledige controle over het systeem te krijgen.
Het beveiligingslek, aangeduid als CVE-2023-29336, is op zichzelf niet voldoende om een systeem op afstand over te nemen en zou met een andere kwetsbaarheid of malware op het systeem moeten worden gecombineerd. Microsoft geeft geen verdere details over de aanvallen. De zeroday was gevonden en gerapporteerd door antivirusbedrijf Avast. Ook het tweede zerodaylek, in de Secure Boot-beveiligingsfeature, was gevonden door een antivirusbedrijf.
Dit beveiligingslek, aangeduid als CVE-2023-24932, maakt het mogelijk om Secure Boot te omzeilen en wordt gebruikt door de BlackLotus-bootkit, zo ontdekten onderzoekers van virusbestrijder ESET en SentinelOne. Om dit beveiligingslek te kunnen misbruiken moet een aanvaller fysieke toegang tot de computer of hierop adminrechten hebben.
De Secure Boot-kwetsbaarheid raakt fysieke systemen en sommige virtual machines en cloudgebaseerde apparaten, alsmede Linux. Microsoft heeft met Linux-distributies samengewerkt zodat die ook een update beschikbaar kunnen stellen. Daarnaast wordt de update niet automatisch ingeschakeld, aldus Microsoft. Gebruikers moeten dit zelf doen.
Vanwege de aanpassingen voor de kwetsbaarheid moeten verschillende revocations worden toegepast, omdat computer anders niet door middel van recovery of installatiemedia zijn op te starten, tenzij deze media met de beveiligingsupdate voor het Secure Boot-lek zijn geüpdatet. Het gaat dan ook om opstartbare media zoals usb-sticks, externe schijven, network boot recovery en restore images. De update moet dan ook eerst worden toegepast en daarna pas de revocations, aldus de uitleg van Microsoft. De overige beveiligingsupdates worden deze maand wel automatisch geïnstalleerd en ingeschakeld.
Deze is ook in Linux te updaten met "fwupd" tool. https://github.com/fwupd/fwupd
Ik ben zelf wel voorstander van "Secure Boot" mits je er controle over hebt.
Beide Linux machines hebben dit al jaren actief en "Secure Boot DBX" geüpdatet.
Ik verwacht ook geen enkele issue met de huidige en recente linux distro's.
Wij gebruiken trouwens coreboot https://www.coreboot.org/
Goh, ik hallucineer blijkbaar, want ik zie toch echt met heel ruime regelmaat updates met de tag security als ik mijn Linuxen weer laat zoeken naar updates.
Blijkbaar ook zo lek, volgens (hier Debian's) eigen patch update tracker .
[10 May 2023] DSA-5400-1 firefox-esr security update
[05 May 2023] DSA-5399-1 odoo security update
[04 May 2023] DSA-5398-1 chromium security update
[04 May 2023] DSA-5396-2 evolution security update
[03 May 2023] DSA-5397-1 wpewebkit security update
[03 May 2023] DSA-5396-1 webkit2gtk security update
[02 May 2023] DSA-5395-1 nodejs security update
[30 Apr 2023] DSA-5394-1 ffmpeg security update
(etc....)
lullig he, zo'n update proces als argument gebruiken.
Goh, ik hallucineer blijkbaar, want ik zie toch echt met heel ruime regelmaat updates met de tag security als ik mijn Linuxen weer laat zoeken naar updates.
Blijkbaar ook zo lek, volgens (hier Debian's) eigen patch update tracker .
[10 May 2023] DSA-5400-1 firefox-esr security update
[05 May 2023] DSA-5399-1 odoo security update
[04 May 2023] DSA-5398-1 chromium security update
[04 May 2023] DSA-5396-2 evolution security update
[03 May 2023] DSA-5397-1 wpewebkit security update
[03 May 2023] DSA-5396-1 webkit2gtk security update
[02 May 2023] DSA-5395-1 nodejs security update
[30 Apr 2023] DSA-5394-1 ffmpeg security update
(etc....)
lullig he, zo'n update proces als argument gebruiken.
Ach... sommige mensen krijgen nu eenmaal wat schuim in de mondhoeken bij het noemen van bepaalde bedrijfsnamen... ;)
Goh, ik hallucineer blijkbaar, want ik zie toch echt met heel ruime regelmaat updates met de tag security als ik mijn Linuxen weer laat zoeken naar updates.
Blijkbaar ook zo lek, volgens (hier Debian's) eigen patch update tracker .
[10 May 2023] DSA-5400-1 firefox-esr security update
[05 May 2023] DSA-5399-1 odoo security update
[04 May 2023] DSA-5398-1 chromium security update
[04 May 2023] DSA-5396-2 evolution security update
[03 May 2023] DSA-5397-1 wpewebkit security update
[03 May 2023] DSA-5396-1 webkit2gtk security update
[02 May 2023] DSA-5395-1 nodejs security update
[30 Apr 2023] DSA-5394-1 ffmpeg security update
(etc....)
lullig he, zo'n update proces als argument gebruiken.
Ach... sommige mensen krijgen nu eenmaal wat schuim in de mondhoeken bij het noemen van bepaalde bedrijfsnamen... ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
