Microsoft heeft op 7 augustus 118 kwetsbaarheden in zijn softwareproducten en componenten gepatcht. 9, inclusief een fout die aanvallers in het wild hebben uitgebuit om kwaadaardige code uit te voeren wanneer gebruikers op een link klikken, aldus beveiligingsexperts.
De patches, onderdeel van Microsoft’s regelmatig geplande Patch Tuesday, hebben de zero-day-kwetsbaarheid (CVE-2022-34713) en een tweede kwetsbaarheid voor de uitvoering van externe code (RCE) (CVE-2022-35743) in de Microsoft Support Diagnostic Tool (MSDT) verholpen. waarvan nog geen gebruik is gemaakt.
De MSDT-kwetsbaarheden zijn een variant van een probleem dat onderzoekers “DogWalk” hebben genoemd, waarvan de openbare discussie ongeveer 18 maanden geleden begon, hoewel het pas recentelijk is uitgebuit, vertelt Satnam Narang, een stafonderzoeksingenieur bij cyberbeveiligingsbedrijf Tenable, aan Dark Reading .
De MSDT-kwetsbaarheden geven aanvallers de mogelijkheid om het MSDT-protocol te gebruiken via een URL in een document — zoals een Microsoft Office Word-bestand — dat, wanneer erop wordt geklikt, code uitvoert in de beveiligingscontext van de toepassing.
“Een aanvaller die dit beveiligingslek weet te misbruiken, kan willekeurige code uitvoeren met de rechten van de aanroepende applicatie”, zei Microsoft in zijn advies voor de vorige MSDT-exploit. “De aanvaller kan vervolgens programma’s installeren, gegevens bekijken, wijzigen of verwijderen, of nieuwe accounts aanmaken in de context die door de gebruikersrechten is toegestaan.”
Beveiligingsteams die de patch niet kunnen toepassen, kunnen het MSDT URL-protocol uitschakelen, hun Microsoft Defender-detecties bijwerken of vertrouwen op Protected View en Application Guard for Office om de huidige aanvallen te voorkomen.
De zero-day kwetsbaarheid, en een eerdere kwetsbaarheid die in mei werd uitgebuit, wordt door aanvallers gebruikt in phishing-campagnes, zegt Narang.
“[I]Het lijkt erop dat aanvallers misbruik willen maken van fouten binnen MSDT, aangezien dit soort fouten uiterst waardevol zijn om spear-phishing-aanvallen uit te voeren”, zegt hij. ter beschikking gesteld. Daarom is het essentieel dat organisaties de beschikbare patches zo snel mogelijk toepassen.”
Beveiligingsteams worstelen met patchen Tsunami
De tranche van updates lost 17 kwetsbaarheden op die als kritiek werden beoordeeld en 101 als belangrijk. Uitbreiding van bevoegdheden domineerden de patches, goed voor 64 van de CVE’s, terwijl RCE-kwetsbaarheden 31 van de 118 beveiligingsproblemen uitmaken die in de software-updates zijn opgelost, volgens Tenable’s analyse van de updates. Kwetsbaarheden met betrekking tot het vrijgeven van informatie zijn verantwoordelijk voor 12 van de gepatchte kwetsbaarheden, en denial-of-service-problemen zijn verantwoordelijk voor zeven kwetsbaarheden. Met nog eens drie kwetsbaarheden konden beveiligingsfuncties worden omzeild.
De kwetsbaarheden — samen met nog eens 25 fouten die op dezelfde dag door Adobe zijn uitgegeven en bijna 20 problemen die vrijdag voor Microsoft’s Edge-browser zijn vrijgegeven — benadrukken de werkdruk waarmee beveiligingsteams op Patch Tuesday te maken hebben.
“Het aantal fixes dat deze maand is uitgebracht, is aanzienlijk hoger dan wat normaal wordt verwacht in een release in augustus”, schreef Dustin Childs, beveiligingscommunicatiemanager voor het Zero Day Initiative van Trend Micro, in een recensie van de updates die op Patch Tuesday zijn uitgebracht. “Het is bijna drie keer zo groot als de release van vorig jaar in augustus en het is de op één na grootste release dit jaar.”
Sommige bedrijven hebben gemeld dat Microsoft 121 fouten heeft opgelost in plaats van 118, maar dat omvat drie problemen in Windows Secure Boot die eerder werden gemeld via het CERT Coördinatiecentrum en zijn updates voor stuurprogramma’s van derden, volgens de analyse van Tenable.
Hoewel de MSDT-kwetsbaarheden het meest kritiek zijn om te verhelpen, komt meer dan een derde van de kwetsbaarheden die door de patches zijn verholpen voor in lokale componenten van Microsoft Azure, waaronder 34 kwetsbaarheden in Azure Site Recovery-software, acht fouten in de Azure Real Time-besturingssystemen en een enkele kwetsbaarheid voor Azure Sphere en de Azure Batch Node Agent.
De updates verhelpen ook kwetsbaarheden in de code die oudere tunnelingprotocollen verwerkt, zoals Point-to-Point Protocol (PPP) en Secure Socket Tunneling Protocol (SSTP), waaronder vier kwetsbaarheden die Windows PPP beïnvloeden en negen die de SSTP-functionaliteit aantasten.
“Dit zijn oudere protocollen die aan uw perimeter moeten worden geblokkeerd”, schreef Trend Micro’s Childs in de ZDI-analyse van de patches. “Als je er echter nog steeds een gebruikt, is dat waarschijnlijk omdat je het nodig hebt, dus mis deze patches niet.”
Adobe Patch dinsdag
Microsoft is niet het enige bedrijf dat aanzienlijke maandelijkse patches uitbrengt. Adobe heeft ook updates gepubliceerd om 25 kwetsbaarheden in vijf verschillende producten te verhelpen, waaronder Adobe Commerce, Adobe Acrobat en Reader, Adobe Illustrator, Adobe FrameMaker en Adobe Premier Elements.
“Geen van de bugs die deze maand door Adobe zijn opgelost, wordt vermeld als publiekelijk bekend of wordt actief aangevallen op het moment van release”, schreef Childs. “Adobe categoriseert de meeste van deze updates als een prioriteitsclassificatie voor implementatie van 3, met de Acrobat-patch als enige uitzondering op 2.”
0 Comments