Microsoft maakt "per ongeluk vergeten" rce-lek in SQL Server alsnog bekend

[Captain Kirk]

Microsoft heeft een kwetsbaarheid in SQL Server waardoor remote code execution mogelijk is alsnog bekendgemaakt. Het techbedrijf kwam afgelopen februari met een beveiligingsupdate voor de kwetsbaarheid in SQL Server 2008, 2014, 2016, 2017, 2019 en 2022, maar was naar eigen zeggen "per ongeluk" vergeten om het bestaan van het lek destijds ook te melden. Volgens securitybedrijf ZDI is er sprake van een "stille patch".

Het beveiligingslek, aangeduid als CVE-2023-23384, betreft een out of bounds kwetsbaarheid in de SQLcmd tool. Een ongeauthenticeerde aanvaller kan hierdoor op afstand code met verhoogde rechten uitvoeren. Volgens Microsoft is het uitvoeren van willekeurige code lastig, aangezien een aanvaller slechts een paar geheugenbytes kan overschrijven. Een aanval zal dan ook eerder leiden tot een crash van de server, aldus Microsoft.

Het techbedrijf stelt dat het in februari het bestaan van de kwetsbaarheid "per ongeluk" was vergeten te melden. Securitybedrijf ZDI spreekt over een stille patch en dat dit geen goede ontwikkeling is. Microsoft geeft geen verdere reden hoe het kan dat de kwetsbaarheid destijds is vergeten. De afgelopen jaren is het een paar keer eerder voorgekomen dat Microsoft het bestaan van een beveiligingslek pas na het uitkomen van de update bekendmaakte.

 

bron: https://www.security.nl