Updates verwijderen actief gebruikt aanvalspad uit Windows

6 reacties

Op Patch Tuesday gisteren - de meest uitgebreide sinds het begin van het jaar - verwijderde Microsoft 108 kwetsbaarheden uit verschillende producten. 19 hiervan werden als kritiek geclassificeerd. 88 andere fixes zijn geclassificeerd als belangrijk en één als matig. Windows- en andere Microsoft-softwaregebruikers moeten ervoor zorgen dat hun systemen de nodige updates ontvangen. Windows-updates worden standaard automatisch gedownload wanneer Windows Update actief is.

Vier van de kritieke kwetsbaarheden betreffen het e-mail- en agenda-systeem Exchange Server, dat sinds vorige maand wordt aangevallen door aanvallers. Gebruikers moeten zo snel mogelijk updaten, omdat de nu verholpen problemen aanvallen op afstand mogelijk kunnen maken met daaropvolgende code-uitvoering.

Een van de belangrijke kwetsbaarheden die zijn verholpen, wordt volgens Microsoft momenteel gebruikt voor aanvallen: CVE-2021-28310 maakt de desktop window manager (DWM) van verschillende Windows 10- en serverversies mogelijk een gateway voor aanvallers die bestaande privileges uitbreiden en, in het ergste geval, code op het doelsysteem zouden kunnen uitvoeren. Volgens het advies van Microsoft over CVE-2021-28310 vereist een aanval op zijn minst lage systeembevoegdheden en is deze alleen lokaal mogelijk of bijvoorbeeld via een ssh-verbinding.

Hoe zo'n aanval precies plaatsvindt, is echter nog onduidelijk. Het Kaspersky-team, dat het probleem ontdekte tijdens het analyseren van een eerdere, ook actief uitgebuite kwetsbaarheid (CVE-2021-1732, gepatcht in februari), zei: "Deze exploit zal waarschijnlijk worden gebruikt in combinatie met browserexploits die worden gebruikt om detectie binnen een sandbox te vermijden en om systeemrechten te verkrijgen voor verdere toegang. De eerste analyse door Kaspersky kon niet de hele infectieketen bepalen. Daarom is het nog niet bekend of de exploit is uitgevoerd met een ander zero-day-systeem of wordt gebruikt met bekende, gepatchte kwetsbaarheden. Volgens de antivirus-softwarefabrikant maken verschillende onafhankelijke actoren momenteel gebruik van de exploit.

Het advies van Microsoft over CVE-2021-28310, een beveiligingslek met betrekking tot misbruik van bevoegdheden in het programma win32k.sys, geeft een overzicht van de beschikbare updates voor Windows 10 en Server. Een recent blogbericht van Kaspersky biedt technische details over het beveiligingslek.

Naast de kritieke kwetsbaarheden in Exchange Server die al zijn genoemd, zijn er twee in de Windows Media Decoder en een andere in Azure Sphere. De andere hebben betrekking op verschillende componenten en outputs van het besturingssysteem. Volgens het Zero Day Initiative(ZDI) van Trend Micros moet geen van de kwetsbaarheden die onderzoekers vorige week tijdens de Pwn2Own-wedstrijd hebben aangetoond, nog worden gepatcht. Ook Exchange Server, Windows 10 en Teams werden daar met succes gehackt. Updates zouden later moeten volgen.

Een blogbericht van het ZDI biedt een duidelijke lijst van alle beveiligingsproblemen die in april zijn opgelost. Samenvattende informatie is ook te vinden in de release-opmerkingen van Microsoft voor de beveiligingsupdates van april 2021.

Bron: heise

« Vorig bericht Volgend bericht »
0
*