Vandaag is het de Patch Tuesday van augustus 2024 van Microsoft, met beveiligingsupdates voor 89 kwetsbaarheden, waaronder zes actief uitgebuite en drie openbaar bekendgemaakte zero-days. Microsoft werkt nog steeds aan een update voor een tiende openbaar bekendgemaakte zero-day.

Deze Patch Tuesday heeft acht kritieke kwetsbaarheden verholpen, die een mengsel waren van verhoging van privileges, uitvoering van externe code en informatielekken.

Het aantal bugs in elke kwetsbaarheidscategorie wordt hieronder vermeld:

• 36 kwetsbaarheden voor verhoging van privileges
• 4 kwetsbaarheden voor het omzeilen van beveiligingsfuncties
• 28 kwetsbaarheden voor externe code-uitvoering
• 8 kwetsbaarheden voor informatielekken
• 6 kwetsbaarheden voor denial of service
• 7 kwetsbaarheden voor spoofing

Bovenstaande bugs omvatten niet de Microsoft Edge-kwetsbaarheden die eerder deze maand zijn bekendgemaakt.

Voor meer informatie over de niet-beveiligingsupdates die vandaag zijn uitgebracht, kunt u onze speciale artikelen over de nieuwe Windows 11 KB5041585-update en de Windows 10 KB5041580-update bekijken.

Tien openbaar gemaakte zero-days

De Patch Tuesday van deze maand verhelpt zes actief uitgebuite en drie andere openbaar bekendgemaakte zero-day kwetsbaarheden. Een andere openbaar bekendgemaakte zero-day blijft op dit moment onopgelost, maar Microsoft werkt aan een update.

Microsoft classificeert een zero-day-kwetsbaarheid als een die openbaar is gemaakt of actief wordt uitgebuit terwijl er geen officiële oplossing beschikbaar is.

De zes actief uitgebuite zero-day-kwetsbaarheden in de updates van vandaag zijn:

CVE-2024-38178 – Scripting Engine Memory Corruption Vulnerability

Volgens Microsoft vereist de aanval dat een geauthenticeerde client op een link klikt, zodat een niet-geauthenticeerde aanvaller externe code kan uitvoeren.

De link moet worden geklikt in Microsoft Edge in de Internet Explorer-modus, wat het een lastige kwetsbaarheid maakt om te exploiteren.

Echter, zelfs met deze voorwaarden, hebben het Zuid-Koreaanse Nationale Cyber Security Centrum (NCSC) en AhnLab de kwetsbaarheid onthuld als zijnde uitgebuit in aanvallen.

CVE-2024-38193 – Windows Ancillary Function Driver voor WinSock Elevation of Privilege Vulnerability

Deze kwetsbaarheid stelt aanvallen in staat om SYSTEM-rechten te verkrijgen op Windows-systemen.

De kwetsbaarheid is ontdekt door Luigino Camastra en Milánek van Gen Digital, maar Microsoft heeft geen details gedeeld over hoe het is onthuld.

CVE-2024-38213 – Windows Mark of the Web Security Feature Bypass Vulnerability

Deze kwetsbaarheid stelt aanvallen in staat om bestanden te maken die Windows Mark of the Web-beveiligingswaarschuwingen omzeilen.

Deze beveiligingsfunctie is het afgelopen jaar onderhevig geweest aan talrijke omzeilingen, omdat het een aantrekkelijk doelwit is voor dreigingsactoren die phishingcampagnes uitvoeren.

Volgens Microsoft werd de fout ontdekt door Peter Girnus van Trend Micro’s Zero Day Initiative, maar ze deelden niet hoe het in aanvallen wordt uitgebuit.

CVE-2024-38106 – Windows Kernel Elevation of Privilege Vulnerability

Microsoft heeft een kwetsbaarheid in de Windows Kernel opgelost die SYSTEM-rechten geeft.

“Succesvolle exploitatie van deze kwetsbaarheid vereist dat een aanvaller een raceconditie wint,” legt het advies van Microsoft uit.

“Een aanvaller die deze kwetsbaarheid met succes exploiteert, kan SYSTEM-rechten verkrijgen,” vervolgde Microsoft.

Microsoft heeft niet gedeeld wie de fout bekend heeft gemaakt en hoe deze is uitgebuit.

CVE-2024-38107 – Windows Power Dependency Coordinator Elevation of Privilege Vulnerability

Microsoft heeft een fout opgelost die aanvallen SYSTEM-rechten geeft op het Windows-apparaat.

Microsoft heeft niet gedeeld wie de fout bekend heeft gemaakt en hoe deze is uitgebuit.

CVE-2024-38189 – Microsoft Project Remote Code Execution Vulnerability

Microsoft heeft een kwetsbaarheid in Microsoft Project verholpen waarbij de beveiligingsfuncties moeten worden uitgeschakeld om exploitatie mogelijk te maken.

“Gebruik vereist dat het slachtoffer een kwaadaardig Microsoft Office Project-bestand opent op een systeem waarbij het beleid ‘Blokkeer macro’s van het uitvoeren in Office-bestanden van het internet’ is uitgeschakeld en de ‘VBA Macro Notification Settings’ niet zijn ingeschakeld, waardoor de aanvaller externe code kan uitvoeren,” legt het advies uit.

Volgens Microsoft zou de aanvaller een gebruiker moeten misleiden om het kwaadaardige bestand te openen, bijvoorbeeld via phishingaanvallen of door gebruikers naar websites te lokken die het bestand hosten.

Microsoft heeft niet onthuld wie de kwetsbaarheid heeft ontdekt of hoe deze is uitgebuit in aanvallen.

De vier openbaar bekendgemaakte kwetsbaarheden zijn:

CVE-2024-38199 – Windows Line Printer Daemon (LPD) Service Remote Code Execution Vulnerability

Microsoft heeft een kwetsbaarheid voor externe code-uitvoering in de Windows Line Printer Daemon opgelost.

“Een niet-geauthenticeerde aanvaller kan een speciaal vervaardigde printopdracht sturen naar een gedeelde kwetsbare Windows Line Printer Daemon (LPD) service op een netwerk. Succesvolle exploitatie kan resulteren in externe code-uitvoering op de server,” legt het advies van Microsoft uit.

Deze kwetsbaarheid wordt vermeld als openbaar bekendgemaakt, maar de persoon die het heeft onthuld wilde anoniem blijven.

CVE-2024-21302 – Windows Secure Kernel Mode Elevation of Privilege Vulnerability

Deze fout werd onthuld door SafeBreach-beveiligingsonderzoeker Alon Leviev als onderdeel van een Windows Downdate downgrade-aanvalspresentatie tijdens Black Hat 2024.

De Windows Downdate-aanval verwijdert volledig bijgewerkte Windows 10-, Windows 11- en Windows Server-systemen om oude kwetsbaarheden opnieuw te introduceren met behulp van speciaal vervaardigde updates.

Deze fout stelde de aanvallers in staat verhoogde privileges te verkrijgen om de kwaadaardige updates te installeren.

CVE-2024-38200 – Microsoft Office Spoofing Vulnerability

Microsoft heeft een kwetsbaarheid in Microsoft Office opgelost die NTLM-hashes (New Technology LAN Manager) onthult, zoals onthuld in de presentatie “NTLM – The last ride” op Defcon.

Aanvallen zouden de fout kunnen benutten door iemand te misleiden om een kwaadaardig bestand te openen, dat vervolgens Office zou dwingen om een uitgaande verbinding te maken met een externe share waar aanvallers de verzonden NTLM-hashes kunnen stelen.

De fout werd ontdekt door Jim Rush van PrivSec en werd op 30 juli 2024 al opgelost via Microsoft Office Feature Flighting.

CVE-2024-38202 – Windows Update Stack Elevation of Privilege Vulnerability

Deze fout maakte ook deel uit van de presentatie over downgrade-aanvallen tijdens Black Hat 2024.

Microsoft ontwikkelt een beveiligingsupdate om deze dreiging te mitigeren, maar deze is nog niet beschikbaar.

Recente updates van andere bedrijven

Andere leveranciers die updates of adviezen in augustus 2024 hebben uitgebracht, zijn onder andere:

• 0.0.0.0 Day kwetsbaarheid stelt kwaadaardige websites in staat om browserbeveiligingsfuncties te omzeilen en toegang te krijgen tot services op een lokaal netwerk.
• Android augustus beveiligingsupdates verhelpen actief uitgebuite RCE (Remote Code Execution).
• CISA waarschuwde voor misbruik van de Cisco Smart Install (SMI)-functie in aanvallen.
• Cisco waarschuwt voor kritieke RCE-kwetsbaarheden in end-of-life IP-telefoons van de Small Business SPA 300- en SPA 500-serie.
• Nieuwe GhostWrite kwetsbaarheid laat ongeprivilegieerde aanvallen toe om te lezen en schrijven in het geheugen van de computer op T-Head XuanTie C910- en C920 RISC-V CPU’s en perifere apparaten te beheersen.
• Ivanti brengt beveiligingsupdate uit voor kritieke vTM-authenticatie bypass met publieke exploit.
• Microsoft waarschuwde voor een nieuwe Office-kwetsbaarheid, bekend als CVE-2024-38200, die NTLM-hashes onthult.
• Nieuwe SinkClose-kwetsbaarheid stelt aanvallen in staat om Ring -2-privileges te verkrijgen op AMD CPU’s.
• Nieuwe Linux SLUBStick-kwetsbaarheid verandert een beperkte heap-kwetsbaarheid in de mogelijkheid voor willekeurig lezen en schrijven in het geheugen.
• Nieuwe Windows Downdate-kwetsbaarheid stelt aanvallen in staat om het besturingssysteem te downgraden om kwetsbaarheden opnieuw te introduceren.

De Patch Tuesday beveiligingsupdates van augustus 2024

Hieronder staat de volledige lijst met opgeloste kwetsbaarheden in de Patch Tuesday-updates van augustus 2024.

Om toegang te krijgen tot de volledige beschrijving van elke kwetsbaarheid en de systemen die het beïnvloedt, kunt u het volledige rapport hier bekijken.