Microsoft överträffade sig själv med denna månads Patch Tuesday-utgåvor, som inte innehåller några nolldagarskorrigeringar, även om åtminstone en av korrigeringarna åtgärdar ett fel som redan utnyttjas aktivt.
Produkter som påverkas av de senaste Patch Tuesday-uppdateringarna inkluderar Windows- och Windows-komponenter; Azurblå; .NET Framework och Visual Studio; SQL Server; DNS-server; Windows Defender; Bitlocker; och Windows Secure Boot.
Microsofts apriluppdatering inkluderade 147 CVE:er, tre klassade som "Kritiska", 142 kategoriserade som "Viktigt" och två listade som "Måttliga" i svårighetsgrad. Den siffran sväller till 155 CVEs om tredjepartsbrister ingår. Siffran representerar ett rekordhögt antal korrigeringar av Patch Tuesday.
"Microsoft patchade 147 CVEs i april, det största antalet CVEs patchade på en månad sedan vi började spåra dessa data 2017," sa Satnam Narang, senior forskaringenjör på Tenable, i ett uttalande. "Senast det var över 100 CVEs patchade var oktober 2023, då Microsoft adresserade 103 CVEs." Den tidigare högsta var i juli 2023, med 130 CVE: er patchade, tillade Narang.
Microsoft indikerade inte att någon av CVE:erna för April Patch Tuesday är nolldagshot, en välkommen avvikelse från förra årets livliga klipp av nolldagarsavslöjande.
"Den här gången förra året fanns det sju nolldagars sårbarheter som utnyttjades i det vilda," sa Narang. I år har det bara utnyttjats två nolldagar och båda var i februari. "Det är svårt att sätta fingret på varför vi har sett denna minskning, vare sig det bara är en brist på synlighet eller om det betyder en trend med angripare som använder kända sårbarheter som en del av sina attacker mot organisationer."
Dustin Childs från Zero Day Initiative noterade dock i april Microsoft Patch Tuesday-analys att hans organisation har bevis på ett känt utnyttjat fel i listan över denna månads korrigeringar.
Patch Tuesday-fixar för att prioritera
Barn pekade på den maximala sårbarheten i SmartScreen Prompt Security Feature Bypass (CVE-2024-29988) med en CVSS-poäng på 8.8, som upptäcktes av ZDI men inte listades som utnyttjad i Microsofts Patch Tuesday-uppdatering.
"Men den bugg som rapporterats av ZDI-hotjägaren Peter Girrus hittades i naturen," tillade Childs. "Vi har bevis för att detta utnyttjas i naturen, och jag listar det som sådant."
Ytterligare en bugg av högsta allvarlighetsgrad som påverkar sårbarheten för fjärrkörning av anropskörning av fjärrkod (CVE-2024-20678) fick ett CVSS-poäng på 8.8 och patchades denna månad av Microsoft.
En sårbarhet för spoofing (CVE-2024-20670), listad som max-severity med en bas CVSS på 8.1, fixades i Outlook för Windows. Och en Windows DNS Server Remote Code Execution, även listad som max-severity (CVE-2024-26221) med ett CVSS-poäng på 7.2, patchades också.
Microsoft SQL får massor av patchar
Microsoft SQL Server-sårbarheter utgör en stor del av månadens Patch Tuesday-fixar, enligt Kev Breen, senior director hot research för Immersive Labs.
"Även om det vid första anblicken kan tyckas att Microsoft har ropat ut ett stort antal sårbarheter i sina senaste anteckningar, är 40 av dem alla relaterade till samma produkt - Microsoft SQL Server," sa Breen i ett uttalande. "Huvudproblemet är med klienterna som används för att ansluta till en SQL-server, inte själva servern."
Breen fortsatte med att förklara att alla dessa skulle kräva social ingenjörskonst, vilket gör SQL-bristerna svåra att utnyttja i någon användbar egenskap.
"Alla rapporterade sårbarheter följer ett liknande mönster: För att en angripare ska få kodexekvering måste de övertyga en autentiserad användare inom en organisation att ansluta till en fjärransluten SQL-server som angriparen kontrollerar," tillade Breen. "Även om det inte är omöjligt, är det osannolikt att detta kommer att utnyttjas i stor skala av angripare."
Säkerhetsteam som är oroade över dessa typer av attacker bör leta efter onormal aktivitet och blockera utgående anslutningar förutom till betrodda servrar.
Microsoft SmartScreen Prompt och Secure Boot Flaws
Tenables Narang noterade månadens fix för säkerhetsfunktionen för SmartScreen Prompt (CVE-2024-29988), med sin CVSS-poäng på 8.8, förlitar sig också på social ingenjörskonst för att möjliggöra exploatering. En liknande nolldagarsbugg (CVE-2024-21412), upptäckt av samma forskare, användes i en DarkGate-kampanj som imiterade populära varumärken som Apple iTunes.
"Microsoft Defender SmartScreen är tänkt att ge ytterligare skydd för slutanvändare mot nätfiske och skadliga webbplatser," sa Narang. "Men, som namnet antyder, kringgår dessa brister dessa säkerhetsfunktioner, vilket leder till att slutanvändare infekteras med skadlig programvara."
Narang föreslog också säkerhetsteam att ta en titt på de 24 Windows Secure Boot-felfixarna som ingår i Microsofts April Patch Tuesday-utgåva.
"Senast Microsoft korrigerade ett fel i Windows Secure Boot (CVE-2023-24932) i maj 2023 hade en anmärkningsvärd inverkan eftersom den exploaterades i det vilda och kopplade till BlackLotus UEFI bootkit, som såldes på Dark Web-forum för $5,000 XNUMX, säger han.
BlackLotus skadlig kod kan blockera säkerhetsskydd vid uppstart.
"Även om ingen av dessa Secure Boot-sårbarheter som åtgärdades den här månaden utnyttjades i naturen, tjänar de som en påminnelse om att bristerna i Secure Boot kvarstår, och vi kan se mer skadlig aktivitet relaterad till Secure Boot i framtiden," betonade Narang.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/vulnerabilities-threats/microsoft-patch-tuesday-no-zero-days-but-one-under-active-exploit
