Microsoft dicht actief aangevallen zeroday in Windows en drie 'wormable' lekken

[Captain Kirk]

Microsoft heeft tijdens de patchdinsdag van april 128 kwetsbaarheden verholpen, waaronder een actief aangevallen zerodaylek in Windows en drie kwetsbaarheden die 'wormable' zijn. Het zerodaylek, aangeduid als CVE-2022-24521, bevindt zich in de Windows Common Log File System Driver en zorgt ervoor dat een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. Het beveiligingslek maakt het niet mogelijk om een systeem op afstand over te nemen.

Details over de waargenomen aanvallen worden niet gegeven. Het beveiligingslek werd gevonden door een onderzoeker van securitybedrijf Crowdstrike en de Amerikaanse geheime dienst NSA en gerapporteerd aan Microsoft. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. De gevaarlijkste kwetsbaarheden waarvoor Microsoft deze maand updates uitrolde, met een impactscore van 9.8, zijn aanwezig in de RPC Runtime Library en het Windows Network File System. Ze maken het in bepaalde omstandigheden mogelijk om systemen zonder enige interactie van gebruikers over te nemen.

In theorie zouden de kwetsbaarheden, die aanwezig zijn in alle ondersteunde Windowsversies, door een computerworm zijn te gebruiken. "In ieder geval tussen machines waar RPC toegankelijk is", zegt Dustin Childs van het Zero Day Initiative over het lek in de RPC Runtime Library (CVE-2022-26809). Een aanval zou alleen over tcp-poort 135 mogelijk zijn, die volgens Childs meestal op de netwerkperimeter wordt geblokkeerd. Aanvallers zouden het lek wel kunnen gebruiken om zich lateraal door een al gecompromitteerd netwerk te bewegen.

De andere twee "wormable" kwetsbaarheden (CVE-2022-24491 en CVE-2022-24497) zijn aanwezig in het Windows Network File System en maken ook remote code execution zonder interactie van gebruikers mogelijk. Voorwaarde is wel dat voor het systeem de "NFS role" staat ingeschakeld. Een computerworm zou zich zo zonder interactie van gebruikers tussen NFS-servers kunnen verspreiden.

Childs roept organisaties dan ook op om de updates voor deze drie kwetsbaarheden snel uit te rollen en ook Microsoft verwacht dat aanvallers misbruik van de lekken zullen gaan maken. De patches worden op de meeste systemen automatisch geïnstalleerd.

 

bron: https://www.security.nl