Microsoft dicht twee actief misbruikte kwetsbaarheden in Windows
Microsoft dicht op Patch Tuesday deze maand in totaal 89 nieuwe kwetsbaarheden in zijn producten. In twee gevallen gaat het om beveiligingsproblemen die door kwaadwillenden actief worden uitgebuit. Het gaat om een kwetsbaarheid in MSHTLM en Windows Task Scheduler.
Hoewel Internet Explorer officieel is stopgezet door Microsoft, zijn diverse onderliggende componenten nog altijd ondersteund. Een voorbeeld is MSHTLM, dat onder andere via de WebBrowser-besturingselementen toegankelijk blijft. Aanvallers maken misbruik van deze oude componenten om de NTLMv2-hash van een slachtoffer te stelen. Met deze hash kan een aanvaller zich vervolgens voordoen als de gebruiker binnen hetzelfde netwerk. Voor een succesvolle aanval is interactie van de gebruiker vereist. Deze kwetsbaarheid is geïdentificeerd als CVE-2024-43451.
Windows Task Scheduler
Een andere actief misbruikte kwetsbaarheid die door Microsoft is gepatcht is CVE-2024-49039. Dit beveiligingsprobleem in Windows Task Scheduler maakt een lokale privilege-escalatie mogelijk, waarbij een gebruiker met beperkte rechten code kan uitvoeren met middelhoge integriteit door te ontsnappen uit een AppContainer. Een kwaadwillende moet hiervoor toegang tot het systeem moet hebben om code uit te voeren. De kwetsbaarheid is door meerdere onderzoekers gemeld, wat erop duidt dat deze in verschillende regio's actief wordt misbruikt.
Dustin Childs, hoofd threat awareness bij Trend Micro’s Zero Day Initiative, gaat in een blogpost dieper in op deze en andere kwetsbaarheden die door Microsoft zijn gedicht.