Af Eskil Sørensen, 14/08/24
Microsoft har i forbindelse med Patch Tuesday advaret om, at der er i øjeblikket florerer seks aktivt udnyttede sikkerhedsfejl.
Det skriver en række medier i deres normale omtale af Patch Tuesday, herunder Dark Reading.
Yderligere fire CVE'er i Microsofts opdatering var offentligt kendt før offentliggørelsen den 13. august, dog er der endnu ikke påbegyndt udnyttelse. Blandt dem skal en EoP-fejl (elevation of privilege) i Windows Update Stack med id’et CVE-2024-38202, være særligt bekymrende, fordi Microsoft endnu ikke har en patch til den, fremgår det af Dark Readings omtale.
Fejlen gør det muligt for en angriber med "grundlæggende brugerrettigheder at genindføre tidligere afbødede sårbarheder eller omgå nogle funktioner i Virtualization Based Security (VBS)", skriver Dark Reading med henvisning til Microsofts advisory. Sårbarheden vurderes til at være alvorlig qua en CVSS-score på 7,3. Den relativt lave score skyldes, at en angriber vil være nødt til at narre en administrator eller bruger med delegerede tilladelser til at udføre en systemgendannelse, fremgår det.
Dog er der forlydender om, at hvis man kæder fejlen sammen med en anden sårbarhed, CVE-2024-21302, der påvirker Windows Secure Kernel, så vil en angriber være i stand til at rulle softwareopdateringer tilbage uden behov for interaktion med en privilegeret bruger. Denne kombination kan have større indvirkning.
I alt vurderes syv af sårbarhederne fra Patch Tuesday til at være kritiske, dvs. med en score på over 9, mens 79 CVE'er - inklusive de 0-dage, som angribere pt. aktivt udnytter - som "vigtige" eller af middel sværhedsgrad. Dette fordi de involverer et vist niveau af brugerinteraktion eller andre krav, som en angriber skal udnytte.
De seks udnyttede, rettede sårbarheder er følgende:
- CVE-2024-38178 — En memory corruption-sårbarhed i Windows Scripting Engine, der muliggør afvikling af kode fra ”remote”, hvis en godkendt klient narres til at klikke på et link. Ifølge Microsoft kræver en vellykket udnyttelse af denne sårbarhed, at Edge bruges i Internet Explorer-tilstand. CVSS-scoren er 7,5.
- CVE-2024-38189 — En sårbarhed i Microsoft Project, der pt. bliver udnyttet via ondsindede Microsoft Office Project-filer på et system, hvor "Bloker makroer fra at køre i Office-filer fra internetpolitikken" er deaktiveret og "VBA Macro Notification Settings" er ikke aktiveret. Denne muliggør afvikling af kode fra ”remote”. CVSS-scoren er 8,8.
- CVE-2024-38107 — En privilege escalationfejl i Windows Power Dependency Coordinator, der gør det muligt for en angriber at få SYSTEM-rettigheder. CVSS-scoren er på 7,8.
- CVE-2024-38106 – Privilege-fejl i Windows kernel, der ved udnyttelse giver mulighed for opnåelse af SYSTEM-rettigheder. CVSS-scoren er på 7,0.
- CVE-2024-38213 — Denne beskrives som Windows ”Mark of the Web security feature bypass”, der ved udnyttelse kan omgå SmartScreen-brugeroplevelsen. CVSS-scoren er 6,5.
- CVE-2024-38193 – En sikkerhedsfejl ifm. udvidelse af privilegier i Windows-tilknyttede funktionsdriveren til WinSock. CVSS-scoren er 7,8.
Alle seks sårbarheder er føjet til CISAs katalog over kendte, udnyttede sårbarheder.
Microsoft opfordrer ifølge Security Week derudover systemadministratorer til at være opmærksomme på en række andre kritiske problemer fra Patch Tuesday, der kan udsætte brugere for fjernafvikling af kode, eskalering af privilegier, cross-site scripting og omgåelse af sikkerhedsfunktioner.
Links:
https://www.securityweek.com/microsoft-warns-of-six-windows-zero-days-be...
https://msrc.microsoft.com/update-guide/vulnerability
https://www.bleepingcomputer.com/news/microsoft/microsoft-august-2024-pa...
https://blog.talosintelligence.com/microsoft-patch-tuesday-august-2024/
https://www.darkreading.com/vulnerabilities-threats/microsoft-discloses-...
https://www.tripwire.com/state-of-security/vert-threat-alert-august-2024...
https://www.helpnetsecurity.com/2024/08/13/microsoft-zero-days-under-att...
https://go.theregister.com/feed/www.theregister.com/2024/08/14/august_pa...