Een kwetsbaarheid in Windows waarvoor Microsoft vorige week een beveiligingsupdate uitbracht werd voor het uitkomen van de patch actief misbruikt, zo heeft techbedrijf alsnog bevestigd. In eerste instantie gaf Microsoft aan dat er geen misbruik van het beveiligingslek, aangeduid als CVE-2024-43461, bekend was. Securitybedrijf ZDI liet direct na het uitkomen van de update weten dat Windowsgebruikers wel via de kwetsbaarheid werden aangevallen.

"Dit beveiligingslek is gelijk aan de kwetsbaarheid die we in juli rapporteerden en werd gepatcht. Het ZDI Threat Hunting team ontdekte deze exploit in het wild en meldde het afgelopen juni aan Microsoft. Het lijkt erop dat aanvallers de vorige patch snel wisten te omzeilen. Toen we Microsoft over de kwetsbaarheid rapporteerden hebben we aangegeven dat er actief misbruik van werd gemaakt. We weten niet waarom Microsoft niet meldt dat actief misbruik plaatsvindt", aldus Dustin Childs van ZDI afgelopen dinsdag.

Volgens Microsoft gaat het om een "Windows MSHTML platform spoofing kwetsbaarheid". Via het beveiligingslek proberen aanvallers het doelwit een malafide bestand te laten openen dat op een PDF-bestand lijkt, maar in werkelijkheid een MSHTML-bestand is dat via Internet Explorer wordt uitgevoerd, ook al is de browser op het systeem uitgeschakeld, zo werd afgelopen juli al duidelijk. Het malafide bestand is in werkelijkheid malware waarmee allerlei wachtwoorden en inloggegevens worden gestolen, aldus antivirusbedrijf Trend Micro.

Microsoft heeft inmiddels het beveiligingsbulletin aangepast en laat weten dat er wel actief misbruik van de kwetsbaarheid wordt gemaakt. In de uitleg stelt het techbedrijf dat CVE-2024-43461 actief werd misbruikt voor juli als onderdeel van een aanvalsketen met betrekking tot CVE-2024-38112. De update die in juli verscheen zorgde ervoor dat de aanval niet meer werkt, aldus Microsoft. Om volledig beschermd te zijn moeten Windowsgebruikers zowel de update van juli als die van afgelopen dinsdag installeren.