Microsoft Patch Tuesday Tsunami: geen nuldagen, maar een asterisk

Microsoft overtrof zichzelf met de Patch Tuesday-releases van deze maand, die geen zero-day-patches bevatten, hoewel ten minste één van de patches een fout verhelpt die al actief wordt uitgebuit.

Producten die getroffen zijn door de meest recente Patch Tuesday-updates zijn onder meer Windows en Windows-componenten; Azuurblauw; .NET Framework en Visual Studio; SQL-server; DNS server; Windows Defender; Bitlocker; en Windows Secure Boot.

De update van Microsoft van april bevatte 147 CVE's, waarvan er drie als 'kritiek' werden beoordeeld, 142 als 'belangrijk' werden gecategoriseerd en twee als 'matig' in ernst werden vermeld. Dat aantal stijgt tot 155 CVE’s als fouten van derden worden meegerekend. Het aantal vertegenwoordigt een recordhoogte voor Patch Tuesday-fixes.

“Microsoft heeft in april 147 CVE’s gepatcht, het grootste aantal CVE’s in een maand sinds we in 2017 begonnen met het bijhouden van deze gegevens”, zegt Satnam Narang, senior stafonderzoeker bij Tenable, in een verklaring. “De laatste keer dat er meer dan 100 CVE’s werden gepatcht was oktober 2023, toen Microsoft 103 CVE’s aanpakte.” Het vorige hoogtepunt was in juli 2023, met 130 herstelde CVE’s, voegde Narang eraan toe.

Microsoft heeft niet aangegeven dat de CVE's van de Patch Tuesday van april een zero-day-bedreiging zijn, een welkome afwijking van de levendige clip van zero-day-onthullingen van vorig jaar.

“Vorig jaar rond deze tijd werden er zeven zero-day-kwetsbaarheden in het wild uitgebuit”, zei Narang. Dit jaar zijn er slechts twee zero-days benut en beide vonden plaats in februari. “Het is moeilijk vast te stellen waarom we deze daling hebben gezien, of het nu gewoon een gebrek aan zichtbaarheid is of dat het een trend aangeeft waarbij aanvallers bekende kwetsbaarheden gebruiken als onderdeel van hun aanvallen op organisaties.”

Dustin Childs van het Zero Day Initiative merkte dit echter op in zijn aprilbericht Analyse van Microsoft Patch Tuesday dat zijn organisatie bewijs heeft van een bekende uitgebuite fout in de lijst met oplossingen van deze maand.

Patch dinsdag-oplossingen om prioriteit te geven

Childs wees op de maximale ernst van de kwetsbaarheid in SmartScreen Prompt Security Feature Bypass (CVE-2024-29988) met een CVSS-score van 8.8, ontdekt door ZDI maar niet vermeld als misbruikt in de Patch Tuesday-update van Microsoft.

“De bug gerapporteerd door ZDI-dreigingsjager Peter Girrus werd echter in het wild gevonden”, voegde Childs eraan toe. “We hebben bewijs dat dit in het wild wordt uitgebuit, en ik vermeld het als zodanig.”

Nog een bug met een maximale ernst die van invloed is op de kwetsbaarheid voor het uitvoeren van externe procedureaanroepen tijdens de uitvoering van externe code (CVE-2024-20678) kreeg een CVSS-score van 8.8 en deze maand gepatcht door Microsoft.

Een spoofing-kwetsbaarheid (CVE-2024-20670), vermeld als maximale ernst met een basis-CVSS van 8.1, is opgelost in Outlook voor Windows. En een Windows DNS Server Remote Code Execution, ook vermeld als max-severity (CVE-2024-26221) met een CVSS-score van 7.2, werd ook gepatcht.

Microsoft SQL krijgt veel patches

Volgens Kev Breen, senior director threat research bij Immersive Labs, vormen kwetsbaarheden in Microsoft SQL Server een groot deel van de Patch Tuesday-oplossingen van deze maand.

“Hoewel het op het eerste gezicht lijkt dat Microsoft in zijn laatste aantekeningen een groot aantal kwetsbaarheden heeft genoemd, hebben veertig daarvan allemaal betrekking op hetzelfde product: Microsoft SQL Server”, aldus Breen in een verklaring. “Het grootste probleem ligt bij de clients die worden gebruikt om verbinding te maken met een SQL-server, en niet bij de server zelf.”

Breen legde verder uit dat voor al deze aspecten social engineering nodig zou zijn, waardoor de SQL-fouten moeilijk op een bruikbare manier te exploiteren zouden zijn.

“Alle gerapporteerde kwetsbaarheden volgen een soortgelijk patroon: als een aanvaller code wil uitvoeren, moet hij een geverifieerde gebruiker binnen een organisatie overtuigen om verbinding te maken met een externe SQL-server die de aanvaller beheert”, aldus Breen. “Hoewel dit niet onmogelijk is, is het onwaarschijnlijk dat dit op grote schaal door aanvallers zal worden uitgebuit.”

Beveiligingsteams die zich zorgen maken over dit soort aanvallen moeten op zoek gaan naar afwijkende activiteiten en uitgaande verbindingen blokkeren, behalve naar vertrouwde servers.

Microsoft SmartScreen snelle en veilige opstartfouten

Narang van Tenable merkte de oplossing van deze maand op voor het omzeilen van de SmartScreen Prompt-beveiligingsfunctie (CVE-2024-29988), met een CVSS-score van 8.8, vertrouwt eveneens op social engineering om uitbuiting mogelijk te maken. Een soortgelijke zero-day bug (CVE-2024-21412), ontdekt door dezelfde onderzoekers, werd gebruikt in een DarkGate-campagne waarin populaire merken als Apple iTunes werden nagebootst.

“Microsoft Defender SmartScreen zou eindgebruikers extra bescherming moeten bieden tegen phishing en kwaadaardige websites”, aldus Narang. “Zoals de naam al aangeeft, omzeilen deze fouten echter deze beveiligingsfuncties, wat ertoe leidt dat eindgebruikers worden geïnfecteerd met malware.”

Narang stelde ook voor dat beveiligingsteams eens zouden kijken naar de 24 oplossingen voor Windows Secure Boot-problemen die zijn opgenomen in de patch-dinsdag-release van april van Microsoft.

“De laatste keer dat Microsoft een fout in Windows Secure Boot repareerde (CVE-2023-24932) in mei 2023 had een opmerkelijke impact omdat het in het wild werd uitgebuit en gekoppeld aan de BlackLotus UEFI-bootkit, die op Dark Web-forums werd verkocht voor $ 5,000, ‘zei hij.

BlackLotus-malware kan beveiligingsmaatregelen blokkeren tijdens het opstarten.

“Hoewel geen van deze Secure Boot-kwetsbaarheden die deze maand zijn aangepakt, in het wild is uitgebuit, herinneren ze eraan dat fouten in Secure Boot blijven bestaan en dat we in de toekomst meer kwaadaardige activiteiten met betrekking tot Secure Boot zouden kunnen zien”, benadrukt Narang.

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
Bron: https://www.darkreading.com/vulnerabilities-threats/microsoft-patch-tuesday-no-zero-days-but-one-under-active-exploit

Generatieve data-intelligentie

Microsoft Patch Tuesday Tsunami: Geen Zero-Days, maar een Asterisk

Patch dinsdag-oplossingen om prioriteit te geven

Microsoft SQL krijgt veel patches

Microsoft SmartScreen snelle en veilige opstartfouten

Top RWA-projecten van 2024: Ethena, Ondo en meer!

MetaMask en Crypto Tax Calculator werken samen om Crypto-investeerders dit belastingseizoen te redden

Laatste intelligentie

Hoe grote trends in de computertechnologie de wetenschap vormgeven – deel twee » CCC Blog

Geschiedenis: DEA stemt ermee in om marihuana naar Schedule III te verplaatsen

Zondagavond Berwick-verkeersstop wegens te hard rijden eindigt in marihuana-arrestatie - Medical Marijuana Program Connection

De groei van realtime betalingen in opkomende markten

Ontbrekende gammastraling doet twijfel rijzen over de oorsprong van kosmische straling – Physics World

RIV Capital rapporteert financiële resultaten voor het fiscale kwartaal en de negen maanden