- Het Patch Tuesday-evenement van deze maand brengt gebruikers overal in totaal 67 fixes.
- Bijna de helft van de vrijgegeven patches problemen met gebruikersrechten op een computer oplossen.
- EHet uitvoeren van willekeurige code op de computer van een slachtoffer is nu ook een probleem opgelost.
- Ook de MSHTML-component van Microsoft Office wordt actief benut.
De regelmatige reeks updates van Redmond wordt deze maand van het grootste belang, aangezien het bedrijf een oplossing uitbrengt voor een kritieke ernstige bug.
Hier wordt momenteel naar verwezen door de kwetsbaarheidsaanduiding, CVE-2021-40444.
We weten ook dat het momenteel wordt uitgebuit in Office-documenten, evenals belangrijke patches voor Microsoft-producten en cloudservices.
Microsoft lost beveiligingsinbreuken op via Patch Tuesday
Tijdens het Patch Tuesday-evenement van deze maand heeft Microsoft in totaal 67 oplossingen voor veel van zijn producten uitgebracht.
Het grootste aantal fixes, namelijk 27, was bedoeld om problemen te repareren die een aanvaller zou kunnen gebruiken om zijn eigen privilegeniveau op een computer te verhogen.
Als u zich afvraagt wat het op één na grootste aantal is, in dit geval 14, richt u dan op het vermogen van een aanvaller om willekeurige code uit te voeren op de computer van een slachtoffer.
Het is belangrijk om te weten dat op één na alle kritieke kwetsbaarheden in de categorie Uitvoering van externe code vallen.
Dit omvat de -40444-bug, die de bijnaam de. kreeg Microsoft MSHTML-beveiligingslek bij uitvoering van externe code.
De niet-RCE kritieke kwetsbaarheid is een bug voor het vrijgeven van informatie die van invloed is op: Azure Bol (CVE-2021-36956), een door Microsoft gemaakt platform dat bedoeld is om een beveiligingslaag toe te voegen aan Internet-of-Things (IoT)-apparaten.
Enkele van de vervelende bugs die de Edge-browser op zowel de Android- als iOS-platforms aantasten, werden ook opgelost door de technische gigant.
Gebruikers van die browser op die apparaten zullen, noodzakelijkerwijs, hun vaste versies moeten verkrijgen van de relevante app store voor hun apparaat, die beide onderhevig zijn aan een kwetsbaarheid die Microsoft beschrijft als spoofen.
De kritieke kwetsbaarheden die Windows zelf treffen (CVE-2021-36965 en CVE-2021-26435) zijn van toepassing op een onderdeel dat de WLAN AutoConfig Service wordt genoemd.
Als u het nog niet wist, maakt dit deel uit van het mechanisme dat Windows 10 gebruikt om respectievelijk het draadloze netwerk te kiezen waarmee een computer verbinding zal maken, en met de Windows Scripting Engine.
Microsoft heeft voorafgaand aan de release-deadline van Patch Tuesday geen aanvullende informatie verstrekt over het mechanisme waarmee deze bugs code op een systeem uitvoeren.
Redmond-ontwikkelaars pakken deze maand een enorme Office-bug aan
Nadat deze bug was ontdekt en op 7 september algemeen bekend werd, begonnen beveiligingsonderzoekers en analisten proof-of-concept-voorbeelden uit te wisselen van hoe een aanvaller de exploit zou kunnen gebruiken.
Helaas betekent het hoge profiel van deze bug dat aanvallers dit hebben opgemerkt en waarschijnlijk zullen beginnen met het misbruiken van de kwetsbaarheid.
Deze vervelende bug heeft betrekking op de MSHTML-component van Microsoft Office, die browserpagina's kan weergeven in de context van een Office-document.
Bij het misbruiken van de bug maakt een aanvaller een kwaadwillig vervaardigd ActiveX-besturingselement en vervolgens sluit code in een Office-document in dat het ActiveX-besturingselement aanroept wanneer het document wordt geopend of bekeken.
De stadia van de aanval zijn, in algemene termen:
- Target ontvangt een .docx- of .rtf Office-document en opent het
- Het document haalt externe HTML op van een kwaadaardig webadres
- De kwaadaardige website levert een .CAB-archief op de computer van het doelwit
- De exploit lanceert een uitvoerbaar bestand vanuit de .CAB (meestal genoemd met een .INF-extensie)
De kwaadaardige scripting gebruikt de ingebouwde handler voor: .cpl bestanden (Windows Configuratiescherm) om het bestand uit te voeren met de extensie .inf (wat in feite een kwaadaardige .dll is) die uit het .cab-bestand is geëxtraheerd.
Veel mensen hebben niet alleen functionele proof-of-concept (PoC) exploits gemaakt, maar enkelen hebben bouwtools gemaakt en gepubliceerd die iedereen kan gebruiken om een Office-document te wapenen.
De originele versie van de exploit gebruikte Microsoft Word.docx documenten, maar we hebben al enkele versies gezien die .rtf bestandsextensies.
Aanvallers gebruiken de technieken niet alleen om .exe-bestanden te starten, maar ook kwaadaardige .dll-bestanden, met behulp van rundll32. Er is geen reden om aan te nemen dat de exploit hun bereik ook niet zal uitbreiden naar andere Office-documenttypen.
Het is goed om te weten dat Redmond-functionarissen hun best doen om ons veilig te houden, maar dit gaat allemaal over een gemeenschappelijke inspanning, dus we moeten ook ons deel doen.
Wat vind je van de Patch Tuesday-updates van deze maand? Deel uw mening met ons in de opmerkingen hieronder.
