Tijdens de patchdinsdag van augustus heeft Microsoft zes kwetsbaarheden in Office en Windows verholpen die actief zijn misbruikt voordat de updates beschikbaar waren. Drie van de beveiligingslekken maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. Twee maken remote code execution mogelijk en de laatste kwetsbaarheid betreft een 'Security Feature Bypass' in Windows Mark of the Web.

De eerste kwetsbaarheid (CVE-2024-38189) waardoor een aanvaller willekeurige code kan uitvoeren is aanwezig in Microsoft Project. Door een doelwit een malafide Microsoft Office Project-bestand te laten openen is remote code execution (RCE) mogelijk. Dit probleem raakt Microsoft Office LTSC 2021, Microsoft Project 2016, Microsoft 365 Apps for Enterprise en Microsoft Office 2019.

De tweede RCE-kwetsbaarheid is aanwezig in de scripting engine van Windows. Misbruik vereist volgens Microsoft dat een aanvaller er eerst voor zorgt dat het doelwit Edge in Internet Explorer-mode gebruikt. Vervolgens moet er een speciaal geprepareerde link worden geopend. Dit beveiligingslek (CVE-2024-38178) werd door het Zuid-Koreaanse National Cyber Security Center (NCSC) en antivirusbedrijf AhnLab aan Microsoft gerapporteerd.

Dan zijn er drie kwetsbaarheden waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen tot die van SYSTEM. Het gaat om problemen in Windows Ancillary Function Driver for WinSoc (CVE-2024-38193), Windows Power Dependency Coordinator (CVE-2024-38107) en de Windows-kernel (CVE-2024-38106). De laatste actief aangevallen kwetsbaarheid die Microsoft deze maand heeft opgelost bevindt zich in de Mark of the Web-feature van Windows.

Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het beveiligingslek (CVE-2024-38213) zorgt ervoor dat de waarschuwing niet verschijnt. Dit beveiligingslek werd door Trend Micro aan Microsoft gerapporteerd.

Naast de zes actief aangevallen kwetsbaarheden zijn er ook vier beveiligingslekken verholpen waarvan details al voor het uitkomen van de update openbaar waren, maar waarvan Microsoft zegt dat er geen misbruik is waargenomen. Het gaat om problemen in Microsoft Office (CVE-2024-38200) en Windows (CVE-2024-38199, CVE-2024-21302 en CVE-2024-38202), waardoor spoofing, remote code execution en het verhogen van rechten mogelijk is. Het totaal aantal gepatchte kwetsbaarheden bedraagt deze maand negentig. Geen van de aangevallen of al eerder openbaar gemaakte beveiligingslekken zijn als kritiek aangemerkt. De updates zullen op de meeste systemen automatisch worden geïnstalleerd.