Microsoft heeft op 10 december 2024 patches uitgebracht die meer dan 70 beveiligingsfouten verhelpen, waaronder een actief misbruikte zero-day-kwetsbaarheid in het Windows Common Log File System (CLFS). De patches zijn bedoeld om de beveiliging van verschillende componenten van het besturingssysteem te verbeteren te midden van de toenemende cyberdreigingen.
Microsoft brengt patches uit voor meer dan 70 beveiligingsfouten, waaronder zero-day-kwetsbaarheid
De zero-day-kwetsbaarheid, geïdentificeerd als CVE-2024-49138heeft een CVSS-ernstscore van 7,8 uit 10. Ontdekt door CrowdStrike, stelt het aanvallers in staat hun privileges naar SYSTEM te escaleren via een heap-gebaseerde bufferoverflow, waarvoor minimale privileges en geen gebruikersinteractie nodig zijn voor exploitatie. Microsoft heeft echter geen indicatoren van compromissen of telemetrie verstrekt om te helpen bij het identificeren van getroffen systemen.
De softwaregigant meldde dat er de afgelopen vijf jaar minstens 25 kwetsbaarheden in CLFS zijn gedocumenteerd. Eerder dit jaar kondigde Microsoft plannen aan om de beveiliging van de CLFS te versterken met op hash gebaseerde Message Authentication Codes (HMAC) ter bescherming tegen ongeoorloofde wijzigingen in logbestanden, een doelwit voor geavanceerde persistente bedreigingen (APT’s) en ransomware-exploits.
Onder de patches van december benadrukte Microsoft ook cruciale oplossingen met betrekking tot de HTTP/2 Rapid Reset Attack, getagd als CVE-2023-44487die waren uitgebuit in wijdverbreide denial-of-service-campagnes. Oorspronkelijk gepatcht in oktober 2024, worden gebruikers dringend verzocht de beschikbare updates te installeren om hun systemen te beveiligen.
De update verhelpt ten minste 16 kritieke kwetsbaarheden in verschillende Windows-componenten. Microsoft heeft met name aanbevolen onmiddellijke actie te ondernemen tegen het beveiligingslek met betrekking tot het op afstand uitvoeren van code in Windows LDAP (CVE-2024-49112), wat een kritisch risico vormt met een CVSS-score van 9,8. Door dit beveiligingslek kunnen niet-geverifieerde aanvallers willekeurige code uitvoeren via speciaal vervaardigde LDAP-aanroepen. Microsoft adviseert om domeincontrollers tijdelijk los te koppelen van internet als risicobeperkingsstrategie.
Andere belangrijke kwetsbaarheden in de release van december zijn onder meer fouten bij het uitvoeren van externe code door gast-naar-host-code in Windows Hyper-V en kritieke RCE-kwetsbaarheden die gevolgen hebben voor Windows Remote Desktop Services. Daarnaast zijn twee grote problemen in de Microsoft Message Queuing-service (MSMQ) en een kritieke RCE-fout in het Microsoft/Muzic AI-project verholpen.
Volgens Zero Day Initiative (ZDI) heeft Microsoft tot nu toe patches uitgebracht voor in totaal 1.020 kwetsbaarheden in 2024, waarvan 27 gedocumenteerd als zero-day-aanvallen gericht op het Windows-ecosysteem van Microsoft dit jaar.
Het beveiligingslandschap blijft gespannen, met voortdurend onderzoek naar verschillende kwetsbaarheden, waaronder de functie Gecentraliseerde logboekregistratie. Naarmate de situatie zich ontwikkelt, wordt de urgentie voor gebruikers om op de hoogte te blijven van de patches van Microsoft onderstreept door de voortdurende exploitatie van verschillende fouten in het wild.
Patchen van kwetsbare Windows-componenten
De Patch Tuesday-gebeurtenis van december 2024 duidt op een cruciale inspanning van Microsoft om talloze kwetsbaarheden aan te pakken waardoor systemen bloot kunnen komen te liggen. De reeks updates omvat met name oplossingen voor verschillende Windows-services en -applicaties die door organisaties intensief worden gebruikt.
De patches pakten beveiligingsfouten aan in applicaties zoals Microsoft Office en Microsoft Edge, naast kernkwetsbaarheden in het besturingssysteem. CVE-2024-49063 betreft bijvoorbeeld een kwetsbaarheid voor het uitvoeren van externe code op het Microsoft/Muzic-platform en CVE-2024-49057 treft Microsoft Defender for Endpoint op Android.
Andere opmerkelijke kwetsbaarheden zijn onder meer meerdere fouten die verband houden met het Windows Lightweight Directory Access Protocol (CVE-2024-49112, CVE-2024-49121, CVE-2024-49124), die elk een kritieke ernstclassificatie hebben. Deze kwetsbaarheden maken mogelijke uitvoering van code op afstand of denial-of-service-scenario’s mogelijk die de netwerkactiviteiten ernstig kunnen beïnvloeden.
Bovendien werden verschillende componenten, zoals Windows Mobile Broadband en PrintWorkflowUserSvc, ook geconfronteerd met kwetsbaarheden die in deze reeks updates zijn opgelost, wat de nadruk legt op de uitgebreide reeks problemen die Microsoft voortdurend moet monitoren en patchen.
Uitgelichte afbeeldingscredits: Microsoft365/Unsplash
