Microsoft dicht actief aangevallen kwetsbaarheden en 'wormable' lek in Windows
Tijdens de patchdinsdag van november heeft Microsoft 89 kwetsbaarheden verholpen, waaronder twee actief aangevallen beveiligingslekken en een 'wormable' kwetsbaarheid in Windows. De eerste actief aangevallen kwetsbaarheid (CVE-2024-49039) bevindt zich in de Windows Task Scheduler en laat een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen, om het systeem zo verder te kunnen compromitteren. De kwetsbaarheid werd mede door Googles Threat Analysis Group aan Microsoft gemeld. Details over de aanvallen en omvang van het misbruik zijn niet door Microsoft gegeven.
Het andere actief misbruikte beveiligingslek (CVE-2024-43451) betreft 'NTLM hash disclosure spoofing'. Via het beveiligingslek kan een aanvaller de NTLMv2-hash van de gebruiker stelen en daarmee vervolgens als de gebruiker inloggen. Er is wel 'minimale interactie' van het doelwit met een malafide bestand vereist, zoals het selecteren of inspecteren van het bestand, of een andere actie, anders dan het openen van het bestand, zo legt Microsoft uit. De kwetsbaarheid bevindt zich in het MSHTML-platform van Windows, dat onder andere door de Internet Explorer-mode van Microsoft Edge wordt gebruikt.
Een andere kwetsbaarheid (CVE-2024-43639) die deze maand opvalt is een remote code execution (RCE)-kwetsbaarheid in Windows Kerberos. Dit is een authenticatieprotocol dat vaak wordt gebruikt om gebruikers of hosts in Windowsomgevingen te authenticeren. Het is ook het authenticatieprotocol gebruikt in Active Directory-implementaties. De kwetsbaarheid in het cryptografische protocol laat een ongeauthenticeerde aanvaller code op kwetsbare systemen uitvoeren.
"Er is geen interactie van gebruikers vereist. Aangezien Kerberos met verhoogde rechten draait, is dit een wormable bug", aldus Dustin Childs van securitybedrijf ZDI. Een worm zou zich via dit beveiligingslek kunnen naar kwetsbare Windows-servers kunnen verspreiden. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Desondanks betwijfelt Childs of aanvallers er actief misbruik van zullen maken. Ook Microsoft heeft de kans op misbruik als 'less likely' ingeschat. De updates van deze patchdinsdag zullen op de meeste systemen automatisch worden geïnstalleerd.
Natuurlijk is stap 1 het binnenkomend verkeer uit/poorten dicht te zetten.
Is er ook een stap 2 nodig? Welk uitgaand verkeer zou ik tegen moeten houden?
Een script om windows goed dicht te timmeren zou ideaal zijn.
Heeft iemand zoiets?
Open source (kijk bij de FAQ) en gratis.
https://tinywall.pados.hu/
Natuurlijk is stap 1 het binnenkomend verkeer uit/poorten dicht te zetten.
Is er ook een stap 2 nodig? Welk uitgaand verkeer zou ik tegen moeten houden?
Een script om windows goed dicht te timmeren zou ideaal zijn.
Heeft iemand zoiets?
CIS heeft hardening scripts op GitHub staan waarmee je je OS (in elk geval voor een deel) naar hun benchmark trekt.
Gezien de hoeveelheid regels code zijn het er eigenlijk best weinig.
Nee, het beleid is vast niet zaligmakend, maar ze nemen het wel aanzienlijk serieuzer dan vroeger, in tegenstelling tot andere sommige andere (software)bedrijven.
Het is prima om kritisch te zijn, maar tot nu toe zie ik op een enkeling na vooral gebash...
Nee, het beleid is vast niet zaligmakend, maar ze nemen het wel aanzienlijk serieuzer dan vroeger, in tegenstelling tot andere sommige andere (software)bedrijven.
Het is prima om kritisch te zijn, maar tot nu toe zie ik op een enkeling na vooral gebash...
De hele IT industrie is kapot. Alles is lek en kapot, developers kunnen niet meer developen en managers weten niet waar ze het over hebben. Industrie breed.. niemand boeit het meer wat. Ik hoop dat AI/quantum alles compleet kapot maakt. Kunnen we fijn opnieuw beginnen op een normale manier.
De hele IT industrie is kapot. Alles is lek en kapot, developers kunnen niet meer developen en managers weten niet waar ze het over hebben. Industrie breed.. niemand boeit het meer wat. Ik hoop dat AI/quantum alles compleet kapot maakt. Kunnen we fijn opnieuw beginnen op een normale manier.
Er is maar 1 stuk software ooit bugvrij verklaard na vele jaren onderzoek en dat is de oorspronkelijke Atari Pac-man
Alle overige software bevat bus, lekken en gaten.
Nee, het beleid is vast niet zaligmakend, maar ze nemen het wel aanzienlijk serieuzer dan vroeger, in tegenstelling tot andere sommige andere (software)bedrijven.
Het is prima om kritisch te zijn, maar tot nu toe zie ik op een enkeling na vooral gebash...
Het hoort te werken, foutloos, niet meer, niet minder.
In plaats van datagraaien, alles willen hebben, beheren, hebben ze te zorgen dat hun product in orde is.
Zeker als de halve wereld zich afhankelijk heeft gemaakt van dat bedrijf.
Nee, het beleid is vast niet zaligmakend, maar ze nemen het wel aanzienlijk serieuzer dan vroeger, in tegenstelling tot andere sommige andere (software)bedrijven.
Het is prima om kritisch te zijn, maar tot nu toe zie ik op een enkeling na vooral gebash...
Waar ik vroeger 1 muisklik voor nodig had moet ik nu 3 muisklikken verder om in hetzelfde oude menu te komen, 3 x linksaf is ook 1 x rechtsaf.
M.a.w. ik had liever gehad dat Microsoft tijd en energie had gestopt in het veiliger maken van Windows 7 dan het introduceren van al die onhandige vernieuwde interfaces.
Gezien de hoeveelheid regels code zijn het er eigenlijk best weinig.
Alleen lijkt het alsof zij er meer inbrengen dan zij fixen. Laat ze dan allen de meest critieke fixen en er verder afblijven als zij het toch niet kunnen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
