Microsoft heeft een aantal al misbruikte kwetsbaarheden in de maandelijkse Patch Tuesday-update opgelost. De belangrijkste zou de kwetsbaarheid CVE-2024-26234 zijn, die kwaadwillenden netwerkverkeer kan laten monitoren en onderscheppen.
In de April 2024 security-update met 190 verbeteringen stelt Microsoft dat de CVE-2024-26234-kwetsbaarheid al actief wordt misbruikt. De aanval wordt uitgevoerd via een onschuldig ogend .exe-bestand, ogenschijnlijk afkomstig van Thales, dat digitaal met een geldige Microsoft Hardware Publisher Certificate is ondertekend.
Het bestand is eigenlijk een backdoor. Het gebruikt een ingebouwde proxy-server om het netwerkverkeer op de getroffen Windows-machine te monitoren en te onderscheppen.
Onderzoekers van Sophos ontdekten dit kwaadaardige bestand eerder in een malafide softwarebundel. Dit pakket was bedoeld om smartphones om te toveren in online bots voor het liken van posts, het volgen van personen op social media en het posten van commentaren.
Microsoft heeft deze kwetsbaarheid nu van een patch voorzien en het certificaat ingetrokken.
Lees ook: Veel snellere Microsoft Store in Insider-versie Windows 11
Overige gepatchte kritieke kwetsbaarheden
Naast deze actieve kwetsbaarheid heeft Microsoft in de laatste Patch Tuesday-update ook een aantal andere kritieke en mogelijk actief misbruikte kwetsbaarheden aangepakt, ontdekte onder meer Trend Micro.
De patch pakt ook een SmartSceen prompt security bypass, CVE-2024-29988, aan. Deze kwetsbaarheid vereist dat slachtoffers worden misleid zodat ze kwaadaardige bestanden draaien. Microsoft stelt dat de kwetsbaarheid actief zou kunnen zijn misbruikt, maar kan dit niet bevestigen.
Door bijvoorbeeld op een link te likken zouden gebruikers het mogelijk kunnen maken dat de SmartScreen-beveiligingsoptie in Windows wordt omzeild. Zo informeert deze security-feature gebruikers niet dat ze mogelijk kwaadaardige websites bezoeken.
Verder heeft Microsoft nog 70 verschillende remote execution (RCE)-gevaren in zijn update gefixt. Onder meer krijgt de Microsoft Defender for IoT-oplossing een drietal belangrijke updates voor het tegengaan van RCE-aanvallen.
Beveiligingsupdates andere leveranciers
Niet alleen Microsoft heeft afgelopen dinsdag een groot aantal security-updates doorgevoerd. Ook andere leveranciers hebben recent aanleiding gevonden een groot aantal nieuwe beveiligingsmaatregelen door te voeren. Onder meer zijn deze updates uitgevoerd door Adobe, SAP, Fortinet, VMware, Cisco en Google.
Beluister ook onze Techzine Talks-aflevering over de tekortschietende interne securitymaatregelen bij Microsoft: