Tijdens de patchdinsdag van november heeft Microsoft 89 kwetsbaarheden verholpen, waaronder twee actief aangevallen beveiligingslekken en een 'wormable' kwetsbaarheid in Windows. De eerste actief aangevallen kwetsbaarheid (CVE-2024-49039) bevindt zich in de Windows Task Scheduler en laat een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen, om het systeem zo verder te kunnen compromitteren. De kwetsbaarheid werd mede door Googles Threat Analysis Group aan Microsoft gemeld. Details over de aanvallen en omvang van het misbruik zijn niet door Microsoft gegeven.
Het andere actief misbruikte beveiligingslek (CVE-2024-43451) betreft 'NTLM hash disclosure spoofing'. Via het beveiligingslek kan een aanvaller de NTLMv2-hash van de gebruiker stelen en daarmee vervolgens als de gebruiker inloggen. Er is wel 'minimale interactie' van het doelwit met een malafide bestand vereist, zoals het selecteren of inspecteren van het bestand, of een andere actie, anders dan het openen van het bestand, zo legt Microsoft uit. De kwetsbaarheid bevindt zich in het MSHTML-platform van Windows, dat onder andere door de Internet Explorer-mode van Microsoft Edge wordt gebruikt.
Een andere kwetsbaarheid (CVE-2024-43639) die deze maand opvalt is een remote code execution (RCE)-kwetsbaarheid in Windows Kerberos. Dit is een authenticatieprotocol dat vaak wordt gebruikt om gebruikers of hosts in Windowsomgevingen te authenticeren. Het is ook het authenticatieprotocol gebruikt in Active Directory-implementaties. De kwetsbaarheid in het cryptografische protocol laat een ongeauthenticeerde aanvaller code op kwetsbare systemen uitvoeren.
"Er is geen interactie van gebruikers vereist. Aangezien Kerberos met verhoogde rechten draait, is dit een wormable bug", aldus Dustin Childs van securitybedrijf ZDI. Een worm zou zich via dit beveiligingslek kunnen naar kwetsbare Windows-servers kunnen verspreiden. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Desondanks betwijfelt Childs of aanvallers er actief misbruik van zullen maken. Ook Microsoft heeft de kans op misbruik als 'less likely' ingeschat. De updates van deze patchdinsdag zullen op de meeste systemen automatisch worden geïnstalleerd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.