Microsoft heeft 44 beveiligingsoplossingen uitgebracht voor Patch Tuesday van augustus, waarbij zeven van de kwetsbaarheden als kritiek worden beoordeeld. Er waren drie nul dagen opgenomen in de release en 37 werden als belangrijk beoordeeld.
Dertien van de patches hadden betrekking op een kwetsbaarheid voor het uitvoeren van code op afstand, terwijl nog eens acht betrekking hadden op het vrijgeven van informatie.
De getroffen tools omvatten .NET Core & Visual Studio, ASP.NET Core & Visual Studio, Azure, Windows Update, Windows Print Spooler-componenten, Windows Media, Windows Defender, Remote Desktop Client, Microsoft Dynamics, Microsoft Edge (Chromium-gebaseerd), Microsoft Office, Microsoft Office Word, Microsoft Office SharePoint en meer.
Een van de meest prominente patches die in de laatste batch zijn uitgebracht, heeft betrekking op de Windows Print Spooler Remote Code Execution-kwetsbaarheid, die een belangrijk onderwerp van discussie is sinds de ontdekking in juni. Microsoft kreeg ook te maken met terugslag van de beveiligingsgemeenschap voor het verknoeien van de release van patches die bedoeld waren om het probleem aan te pakken.
De opgeloste zero-day-bugs omvatten:
CVE-2021-36948 Kwetsbaarheid van misbruik van bevoegdheden in Windows Update Medic-serviceCVE-2021-36942 Kwetsbaarheid van Windows LSA-spoofingCVE-2021-36936 Kwetsbaarheid van uitvoering van externe code in Windows Print Spooler
De Windows Update Medic Service Elevation of Privilege-kwetsbaarheid is de enige die in het wild is misbruikt, volgens het rapport van Microsoft, maar ze leggen niet uit hoe, waar of door wie.
Beveiligingsexpert Allan Liska zei dat CVE-2021-36948 hem opviel vanwege de overeenkomsten met CVE-2020-17070, dat in november 2020 werd gepubliceerd.
“Het is duidelijk dat het wordt misbruikt in het wild, maar we hebben in november 2020 bijna exact dezelfde kwetsbaarheid gezien, maar ik kan geen bewijs vinden dat dat in het wild is uitgebuit”, zei Liska. “Dus ik vraag me af of dit een nieuwe focus is voor bedreigingsactoren.”
Liska voegde toe dat CVE-2021-26424 een kwetsbaarheid is om in de gaten te houden, omdat het een Windows TCP/IP Remote Code Execution-kwetsbaarheid is die gevolgen heeft voor Windows 7 tot en met 10 en Windows Server 2008 tot 2019.
“Terwijl dit beveiligingslek niet wordt vermeld als openbaar gemaakt of in het wild wordt geëxploiteerd, heeft Microsoft dit wel aangeduid als 'Exploitation More Likely', wat betekent dat uitbuiting relatief triviaal is. Kwetsbaarheden in de TCP/IP-stack kunnen lastig zijn. Er was eerder dit jaar veel bezorgdheid rond CVE-2021-24074, een vergelijkbare kwetsbaarheid, maar die in het wild niet is uitgebuit”, legt Liska uit.
“Aan de andere kant is de CVE-2020-16898 van vorig jaar, een andere soortgelijke kwetsbaarheid, in het wild uitgebuit.”
De kwetsbaarheid voor LSA-spoofing houdt verband met een advies dat Microsoft eind vorige maand heeft verzonden over hoe Windows-domeincontrollers en andere Windows-servers kunnen worden beschermd tegen de NTLM-relay-aanval die bekend staat als PetitPotam.
In juli ontdekt door de Franse onderzoeker Gilles Lionel, kan de PetitPotam-versie van de NTLM Relay-aanval “Windows-hosts dwingen zich te authenticeren bij andere machines via de MS-EFSRPC EfsRpcOpenFileRaw-functie.” Er is nooit gevonden dat het is uitgebuit.
Het Zero Day Initiative merkte op dat Adobe ook twee patches uitbracht voor 29 CVE's in Adobe Connect en Magento. ZDI zei dat het acht van de bugs in het recente Microsoft-rapport had ingediend en legde uit dat dit het kleinste aantal patches is dat door Microsoft is uitgebracht sinds december 2019. Ze schreven de daling toe aan beperkte middelen, aangezien Microsoft in juli veel tijd besteedde aan het reageren op gebeurtenissen zoals PrintNightmare en PetitPotam.
“Als we kijken naar de resterende updates met kritieke classificatie, zijn de meeste van de browse-and-own-variant, wat betekent dat een aanvaller een gebruiker zou moeten overtuigen om naar een speciaal vervaardigde website met een getroffen systeem te bladeren ,” zei ZDI.
“Een uitzondering zou CVE-2021-26432 zijn, wat een patch is voor de Windows Services voor NFS ONCRPC XDR Driver. Microsoft geeft geen informatie over hoe het CVSS 9.8-geclassificeerde beveiligingslek kan worden misbruikt, maar het merkt wel op dat het geen privileges of gebruikersinteractie moet worden misbruikt.”
De volgende patch dinsdag is 14 september.
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN review: Het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Microsoft Security TV Data Management CXO Datacenters 