2 min Security

Windows Patch Tuesday nekt bug die al wordt geëxploiteerd

Windows Patch Tuesday nekt bug die al wordt geëxploiteerd

De December 2024 Patch Tuesday bevat 71 patches, waarvan er 16 als kritiek zijn bestempeld. Eén daarvan draait om een zero-day die nu al misbruikt wordt.

Het gaat daarbij om CVE-2024-49138, dat op het eerste gezicht met een CVSS-score van 7.8 niet al te veel angst opwekt. Maar deze bug in de Windows Common Log File System (CLFS) Driver biedt aanvallers veel opties. Henry Smith, senior security engineer bij Automox, suggereert tegenover Dark Reading dat kwaadwillenden de Windows API’s gebruiken om logdata te manipuleren of corrumperen.

De kwetsbaarheid werd ontdekt door het Advanced Research Team van CrowdStrike. Mogelijk betekent dit dat we vanuit dat securitybedrijf meer zullen horen over exploitaties van CVE-2024-49138 in de buitenwereld.

Escaleren van privileges

De kwetsbaarheid is op zichzelf slechts in beperkte mate gevaarlijk, maar wordt een groot risico samen met een RCE-bug elders. Zo blijkt andermaal dat een niet al te kritieke kwetsbaarheid daadwerkelijk ernstig kan zijn en andersom. De CVSS-score moet dus nooit als een indicatie van het werkelijke risico voor organisaties worden opgevat.

Lees verder: Wanneer is een kritieke kwetsbaarheid daadwerkelijk ernstig?

Een hoge CVE-score (onder CVSS 2.0 en CVSS 3.0) zorgt namelijk niet voor de gevaarlijkste security-incidenten. De reden dat security-teams dergelijke kwetsbaarheden prioriteren, is omdat hoge CVE-scores wijzen op iets anders. Ze benadrukken onder meer de bewegingsvrijheid van de aanvaller na een exploitatie, de moeilijkheidsgraad van het herstel en de impact op de beschikbaarheid van IT-systemen.

Een andere CVE die Microsoft via Patch Tuesday bestrijdt, is CVE-2024-49112. Met een CVSS-score van 9.8 zal dit wel wat sneller de nekharen van systeembeheerders overeind laten staan. Het gaat hierbij om een RCE-kwetsbaarheid binnen de Windows Lightweight Directory Access Protocol (LDAP). Dit kan domain controllers compromitteren en daarmee de authenticatie van gebruikers manipuleren. Vooralsnog is niet bekend dat deze kwetsbaarheid daadwerkelijk is geëxploiteerd.

Lees ook: Laatste grote Windows-update van dit jaar staat voor de deur