Microsoft heeft 71 beveiligingsoplossingen voor software uitgebracht, waaronder een actief misbruikte zero-day-bug in Win32k.
De laatste reeks patches van de Redmond-gigant, die gewoonlijk op de tweede dinsdag van elke maand wordt uitgebracht in wat bekend staat als Patch Tuesday, bevat oplossingen voor in totaal vier zero-day-fouten, waarvan er drie openbaar zijn.
Producten die getroffen zijn door de beveiligingsupdate van oktober zijn Microsoft Office, Exchange Server, MSHTML, Visual Studio en de Edge-browser.
De zero-day-bugs worden bijgehouden als CVE-2021-40449, CVE-2021-41338, CVE-2021-40469 en CVE-2021-41335.
CVE-2021-40449 wordt actief misbruikt. Deze kwetsbaarheid heeft een CVSS-ernstscore van 7,8 gekregen en heeft invloed op de Win32K-kerneldriver. Boris Larin (oct0xor) van Kaspersky rapporteerde de fout aan Microsoft, en in een blog die vandaag werd gepubliceerd, zei het cyberbeveiligingsbedrijf dat een wirwar van activiteiten, MysterySnail genaamd, gebruikmaakt van de 'use-after-free'-fout.
“Naast het vinden van de zero-day in het wild, analyseerden we de malware-payload die werd gebruikt samen met de zero-day exploit, en ontdekten dat varianten van de malware werden gedetecteerd in wijdverbreide spionagecampagnes tegen IT-bedrijven, militaire/defensiecontractanten en diplomatieke entiteiten. “, zegt Kaspersky.
Kevin Breen van Immersive Labs, directeur van Cyber Threat Research, zei dat dit probleem “zeker een prioriteit zou moeten zijn om te patchen”.
“Het staat genoteerd als 'exploitatie gedetecteerd', wat betekent dat aanvallers het al tegen organisaties gebruiken om beheerdersrechten te krijgen”, aldus Breen. “Het verkrijgen van dit toegangsniveau op een gecompromitteerde host is de eerste stap om domeinbeheerder te worden — en volledige toegang tot een netwerk te beveiligen.”
Lees verder:
EU-toezichthouders vragen teams naar rivalen De bundelingspraktijken van Microsoft, volgens de klacht van Slack in 2020
Je Xbox kapot? Recht op reparatie heeft zojuist een grote stap voorwaarts gezet bij Microsoft
De drie andere zero-day-kwetsbaarheden die in deze ronde van patches zijn opgelost, zijn CVE-2021-41338 (CVSS 5.5), een Windows AppContainer Firewall-bug waarmee aanvallers beveiligingsfuncties kunnen omzeilen; CVE-2021-40469 (CVSS 7.2), een RCE in Windows DNS Server; en CVE-2021-41335 (CVSS 7.8), een misbruik van bevoegdheden in de Windows-kernel.
Drie kritieke bugs, CVE-2021-40486, CVE-2021-38672 en CVE-2021-40461, zijn ook van belang. De eerste beveiligingsfout treft Microsoft Word, terwijl de andere twee gevolgen hebben voor Hyper-V. Als ze worden misbruikt, kunnen ze allemaal leiden tot uitvoering van externe code.
Volgens het Zero Day Initiative (ZDI) zijn 11 van de beveiligingsfouten die deze maand zijn gepatcht, ingediend via het ZDI-programma, inclusief bugs die eerder in de maand zijn opgelost door het Edge-browserteam.
Vorige maand heeft Microsoft dit opgelost meer dan 60 bugs in de reeks beveiligingsoplossingen van september, waaronder een RCE-fout in MSHTML en een zero-day kwetsbaarheid voor escalatie van Windows DNS-privileges.
Een maand eerder heeft de techgigant 45 beveiligingsfouten aangepakt – waarvan er zeven als kritiek werden beschouwd – tijdens de Patch Tuesday van augustus.
In ander Microsoft-nieuws is de techgigant bezig met het voorbereiden van een nieuwe Feedback Portal, die naar verwachting eind 2021 klaar zal zijn in de preview-modus. De portal wordt eerst geopend voor Microsoft 365- en Microsoft Edge-producten. De gigant uit Redmond heeft onlangs ook gewaarschuwd voor aanvallen met wachtwoordspray tegen Office 365-klanten.
Naast Microsoft's Patch Tuesday-ronde hebben ook andere leveranciers beveiligingsupdates gepubliceerd die hieronder te vinden zijn.
Adobe-beveiligingsupdatesSAP-beveiligingsupdatesVMWare-beveiligingsadviezenIntel-beveiligingsupdates
Verwante onderwerpen:
Microsoft Security TV Data Management CXO Datacenters