Microsoft dringt er bij Windows-gebruikers op aan om hun systemen onmiddellijk te updaten nadat ze vier nieuwe zero-day-kwetsbaarheden hebben bevestigd als onderdeel van de beveiligingspatch van november. Van de ruim negentig gemelde beveiligingsproblemen worden twee van deze zero-days actief misbruikt, wat aanzienlijke risico’s voor gebruikers met zich meebrengt.
Inzicht in de zero-day-kwetsbaarheden
Microsoft heeft een uniek perspectief op wat een zero-day-dreiging inhoudt, waarbij rekening wordt gehouden met zowel kwetsbaarheden die openbaar worden gemaakt als kwetsbaarheden die actief worden aangevallen. Zoals benadrukt in de release van Patch Tuesday van november 2024, worden momenteel twee van de vier geïdentificeerde kwetsbaarheden misbruikt.
CVE-2024-43451 is bijzonder opmerkelijk; het is een NT LAN Manager-hash-onthullingsspoofing-kwetsbaarheid die het NTLM-authenticatieprotocol bloot kan leggen. Volgens Ryan Braunstein, teamleider beveiligingsoperaties bij Automox, vereist de fout dat gebruikersinteractie wordt uitgebuit. Om de aanval te laten slagen, moeten gebruikers met name een vervaardigd bestand openen dat via phishing-pogingen is verzonden. Wanneer dit beveiligingslek wordt gehackt, kunnen aanvallers zich potentieel als gebruiker identificeren dankzij de openbaarmaking van NTLM-hashing, die bedoeld is om wachtwoorden te beschermen.
Aan de andere kant is CVE-2024-49039 een kwetsbaarheid voor misbruik van bevoegdheden in Windows Task Scheduler. Henry Smith, een senior beveiligingsingenieur bij Automox, merkte op dat deze fout gebruik maakt van Remote Procedure Call-functies, waardoor een aanvaller zijn rechten kan verhogen nadat hij aanvankelijk toegang heeft gekregen tot een Windows-systeem. Patchen blijft de meest betrouwbare verdediging tegen deze kwetsbaarheden, vooral omdat functionele exploitcode al in het wild circuleert.
Kritieke kwetsbaarheden met een ernstgraad van 9,8
Als aanvulling op het alarm zijn twee kwetsbaarheden beoordeeld met een 9,8 op het Common Vulnerability Scoring System, wat hun potentiële impact aangeeft. CVE-2024-43498 is van invloed op .NET-webapplicaties, waardoor niet-geverifieerde externe aanvallers de applicatie kunnen misbruiken via kwaadaardige verzoeken. Ondertussen richt CVE-2024-43639 zich op Windows Kerberos, waardoor ongeautoriseerde aanvallers code kunnen uitvoeren via dezelfde niet-geverifieerde vectoren.
De belangrijkste focus zou echter moeten worden gericht op twee beveiligingskwetsbaarheden, die volgens Tyler Reguly, associate director voor beveiligingsonderzoek en -ontwikkeling bij Fortra, een kritieke 9,8 krijgen op de ernstschaal van de impact. “Hoewel het Common Vulnerability Scoring System geen risico-indicator is”, zegt Reguly gezegd“Scores van een 9,8 vertellen vaak goed waar het probleem zit.”
Gezien de ernst van deze kwetsbaarheden benadrukt Microsoft het belang van het toepassen van beveiligingsupdates, vooral voor gebruikers die Windows, Office, SQL Server, Exchange Server, .NET en Visual Studio gebruiken. Chris Goettl, vice-president van beveiligingsproductbeheer bij Ivanti, merkte op dat patchen een prioriteit zou moeten zijn vanwege de bekende en actief uitgebuite aard van deze kwetsbaarheden.
Het volgen van recente aanvallen en kwetsbaarheden
De zorgen van Microsoft worden versterkt door recente incidenten waarbij Russische hackers kwetsbaarheden in hun systemen misbruikten voor aanvallen die specifiek gericht waren op Oekraïense entiteiten. Dit benadrukt de bredere implicaties van deze kwetsbaarheden die verder gaan dan louter softwareproblemen. Beveiligingsonderzoekers van ClearSky meldden dat de kwetsbaarheid voor het openbaar maken van NTLM-hash (CVE-2024-43451) werd gebruikt om NTLMv2-hashes te stelen via phishing-schema’s, waardoor een reeks werd geactiveerd waarmee aanvallers op afstand toegang konden krijgen tot aangetaste systemen.
Door gebruik te maken van vervaardigde hyperlinks in phishing-e-mails dwongen aanvallers gebruikers om te communiceren met kwaadaardige bestanden, waardoor de kwetsbaarheid werd geactiveerd die verbinding maakt met een door de aanvaller bestuurde server. Dit onderstreept de dringende noodzaak voor gebruikers om waakzaam te blijven en verdachte communicatie te melden.
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft CVE-2024-43451 toegevoegd aan de Known Exploited Vulnerabilities Catalog, waarin wordt voorgeschreven dat organisaties hun kwetsbare systemen begin december moeten beveiligen. Zoals CISA stelt, dienen dergelijke kwetsbaarheden vaak als aanvalsvectoren voor kwaadwillende cyberactoren en vormen ze grote risico’s, vooral binnen federale netwerken.
Gewapend met de kennis van deze kwetsbaarheden worden gebruikers dringend verzocht snel te handelen. De november-patchdinsdag van Microsoft is een noodzakelijke stap om de risico’s die gepaard gaan met nieuw ontdekte fouten te beperken. Nu hybride werkomgevingen de grenzen van cyberbeveiliging steeds verder vervagen, kan het naleven van best practices en het zorgen voor tijdige updates de blootstelling aan potentiële bedreigingen drastisch verminderen.
Uitgelichte afbeeldingscredits: Windows/Unsplash
