Microsoft verhelpt zerodaylek in Windows dat aanvaller systeemrechten geeft

[Captain Kirk]

Tijdens de patchdinsdag van september heeft Microsoft een actief aangevallen zerodaylek in Windows verholpen dat een aanvaller die al toegang tot een computer heeft systeemrechten geeft. Ook is een beveiligingslek gepatcht dat 'wormable' is. Het zerodaylek (CVE-2022-37969) bevindt zich in de Windows Common Log File System (CLFS) driver waar Microsoft in april ook al een zeroday in verhielp. Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging.

Het beveiligingslek maakt het niet mogelijk om een systeem op afstand over te nemen. Daarvoor zou een tweede kwetsbaarheid zijn vereist. Naast de combinatie met een tweede kwetsbaarheid is CVE-2022-37969 ook te misbruiken door slachtoffers een malafide app te laten installeren, waarna een aanvaller volledige controle over het systeem kan krijgen, ook al heeft het slachtoffer verminderde rechten. Details over de aanvallen zijn niet gegeven. Maar liefst vier verschillende securitybedrijven, DBAPPSecurity, Mandiant, CrowdStrike en Zscaler, ontdekten het zerodaylek en rapporteerden dit aan Microsoft.

Een andere kwetsbaarheid die deze maand opvalt is CVE-2022-34718, aanwezig in de TCP/IP-code van Windows. Door het versturen van een speciaal geprepareerd IPv6-pakket kan een ongeauthenticeerde aanvaller op afstand willekeurige code uitvoeren en zo het systeem overnemen. Er is geen enkele interactie van gebruikers vereist, de computer hoeft alleen toegankelijk voor de aanvaller te zijn. Daardoor heeft het lek, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, het stempel 'wormable' gekregen. Er is wel een voorwaarde om misbruik mogelijk te maken. Op de computer moet namelijk IPSec ingeschakeld staan. De beveiligingsupdates van deze maand zullen op de meeste systemen automatisch worden geïnstalleerd.

 

bron: https://www.security.nl