Tijdens de patchdinsdag van september heeft Microsoft vier actief aangevallen kwetsbaarheden verholpen. De beveiligingslekken werden al misbruikt voordat de patches beschikbaar waren. Het gaat om drie kwetsbaarheden in Windows en één in Publisher. De gevaarlijkste kwetsbaarheid betreft remote code execution in Windows Update (CVE-2024-43491). Via dit beveiligingslek is een downgrade-aanval mogelijk waardoor eerder gepatchte kwetsbaarheden weer in het systeem aanwezig komen en te misbruiken zijn.

Microsoft benadrukt dat er geen misbruik van CVE-2024-43491 is gemaakt, maar wel van de kwetsbaarheden die via de downgrade-aanval opnieuw geïntroduceerd worden. Verder is opnieuw een Windows Mark-of-the-Web security feature bypass verholpen. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows SmartScreen een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het beveiligingslek (CVE-2024-38217) zorgt ervoor dat de waarschuwing niet verschijnt.

De tweede actief aangevallen security feature bypass van deze maand bevindt zich in Microsoft Publisher (CVE-2024-38226). Via het beveiligingslek kan een aanvaller ingesteld Office-macrobeleid omzeilen dat wordt gebruikt voor het blokkeren van niet-vertrouwde of malafide bestanden. Een aanvaller moet het doelwit wel een malafide Publisher-bestand laten openen om het lek te misbruiken. Vervolgens worden aanwezige malafide macro's automatisch uitgevoerd, ook al staat ingesteld dat die moeten worden geblokkeerd.

In het geval van de actief aangevallen kwetsbaarheid in Windows Installer kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen (CVE-2024-38014). Een aanvaller kan op deze manier SYSTEM-rechten krijgen. De door Microsoft beschikbaar gestelde beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd.