De Microsoft Patch Tuesday van oktober bevat 117 kwetsbaarheden waarvan er drie beoordeeld zijn als kritieke kwetsbaarheden en twee zero-daykwetsbaarheden die actief misbruikt worden. Microsoft classificeert een zero-day kwetsbaarheid als die openbaar is gemaakt of actief wordt misbruikt, terwijl er nog geen officiële oplossing beschikbaar is. Hieronder een korte samenvatting van de meest belangrijke kwetsbaarheden die zijn ontdekt. Voor de volledige lijst met kwetsbaarheden kun je terecht op Microsoft Security Updates.
CVE-2024-43468 | Microsoft Configuration Manager Remote Code Execution Vulnerability
CVE-2024-43468 is een kwetsbaarheid voor remote code execution (RCE) in Microsoft Configuration Manager, die door Microsoft wordt beoordeeld als “Minder Waarschijnlijk om Misbruikt te Worden”, ondanks een kritische CVSSv3-score van 9.8, de hoogste score in de Patch Tuesday-update van oktober. Een aanvaller kan deze kwetsbaarheid misbruiken zonder voorafgaande authenticatie door een speciaal geprepareerd verzoek naar een kwetsbare machine te sturen, wat resulteert in RCE op de machine of in de onderliggende database.
Microsoft heeft getroffen gebruikers geadviseerd om een update in de console te installeren als enige mitigatie. Voor gebruikers die de updates niet direct kunnen toepassen, biedt Microsoft een tijdelijke oplossing: het gebruik van een alternatieve serviceaccount voor de verbinding van het beheerpunt in plaats van het standaard “Computer” account.
CVE-2024-38124 | Windows Netlogon Elevation of Privilege Vulnerability
CVE-2024-38124 is een Elevation of Privilege (EoP)-kwetsbaarheid in Windows Netlogon, beoordeeld als “Minder Waarschijnlijk om Misbruikt te Worden” met een CVSSv3-score van 9, de op één na hoogste score in de Patch Tuesday-update van oktober. Een aanvaller zou geauthentiseerde toegang nodig hebben tot hetzelfde netwerk als een kwetsbaar apparaat en hun machine moeten hernoemen om overeen te komen met de domeincontroller, zodat een beveiligd kanaal kan worden opgezet. Als aan deze voorwaarden is voldaan, moet de aanvaller hun machine vervolgens terug hernoemen naar de oorspronkelijke naam. “Zodra de nieuwe domeincontroller is gepromoveerd, kan de aanvaller het beveiligde kanaal gebruiken om zich voor te doen als de domeincontroller en mogelijk het hele domein compromitteren.”
Er zijn geen workarounds voor deze kwetsbaarheid, maar als directe patching geen optie is, heeft Microsoft een aantal verzachtende maatregelen gesuggereerd:
- Vermijd het gebruik van voorspelbare naamgevingsconventies voor domeincontrollers.
- Zorg ervoor dat validatie van het beveiligde kanaal meer vereist dan alleen een overeenkomende computernnaam.
- Monitor het hernoemen van computers binnen het netwerk.
- Overweeg verbeterde authenticatiemechanismen.
CVE-2024-43572 | Microsoft Management Console Remote Code Execution Vulnerability
CVE-2024-43572 is een kwetsbaarheid voor remote code execution (RCE) in Microsoft Management Console (MMC). Deze kwetsbaarheid heeft een CVSSv3-score van 7.8 gekregen en wordt als belangrijk geclassificeerd.
Een aanvaller kan deze kwetsbaarheid misbruiken door een kwetsbaar doelwit via social engineering-tactieken te overtuigen om een speciaal geprepareerd bestand te openen. Bij succesvolle exploitatie kan de aanvaller willekeurige code uitvoeren. Volgens Microsoft is CVE-2024-43572 actief misbruikt als een zero-day.
Als onderdeel van de patch voor CVE-2024-43572 heeft Microsoft het gedrag van Microsoft Saved Console (MSC)-bestanden gewijzigd, waardoor het niet langer mogelijk is om onbetrouwbare MSC-bestanden op een systeem te openen.
CVE-2024-43573 | Windows MSHTML Platform Spoofing Vulnerability
CVE-2024-43573 is een spoofing-kwetsbaarheid in het Windows MSHTML-platform. Deze kwetsbaarheid heeft een CVSSv3-score van 6.5 gekregen en wordt als matig beoordeeld. Een niet-geauthentiseerde, externe aanvaller kan deze kwetsbaarheid misbruiken door een potentieel slachtoffer te overtuigen om een kwaadaardig bestand te openen. Volgens Microsoft is CVE-2024-43573 actief misbruikt als een zero-day.
Er zijn geen workarounds voor deze kwetsbaarheid, maar als directe patching geen optie is, heeft Microsoft een aantal verzachtende maatregelen gesuggereerd:
- Vermijd het gebruik van voorspelbare naamgevingsconventies voor domeincontrollers.
- Zorg ervoor dat validatie van het beveiligde kanaal meer vereist dan alleen een overeenkomende computernnaam.
- Monitor het hernoemen van computers binnen het netwerk.
- Overweeg verbeterde authenticatiemechanismen.
Oplossing
Microsoft heeft updates uitgebracht om de genoemde kwetsbaarheden te verhelpen. Het is belangrijk dat organisaties deze updates tijdig toepassen om de risico’s van deze kwetsbaarheden te verkleinen. Voor organisaties die niet direct in staat zijn om de patches te installeren, biedt Microsoft tijdelijke oplossingen en mitigaties, zoals beschreven bij de specifieke kwetsbaarheden.