Microsoft brengt noodpatch uit voor zeroday in Internet Explorer

Microsoft heeft een beveiligingsupdate voor een zerodaykwetsbaarheid in Internet Explorer uitgebracht. Volgens het bedrijf werd dat lek actief misbruikt, al brengt het geen details naar buiten over hoe dat precies gebeurt. In de patch zit ook een fix voor Microsoft Defender.

Het lek staat bekend onder de code CVE-2019-1367. Volgens Microsoft gaat het om een kwetsbaarheid in de manier waarop de script engine omgaat met objecten in het werkgeheugen. Daardoor kan een aanvaller het werkgeheugen manipuleren en zo een remote code execution doen vanaf een andere website. Als de gebruiker is ingelogd als administrator kan een aanvaller programma's installeren. Ook is het mogelijk adminrechten te krijgen voor slachtoffers die als gewone gebruiker zijn ingelogd. Volgens Microsoft zit de kwetsbaarheid in ieder geval in Internet Explorer 9 tot en met 11.

Dergelijke kwetsbaarheden komen vaker voor in Internet Explorer. Doorgaans worden die dan gerepareerd tijdens 'Patch Tuesday', de maandelijkse dag dat alle beschikbare patches in één keer worden verspreid. Nu brengt Microsoft een noodpatch uit, wat betekent dat het lek in het wild werd misbruikt. De kwetsbaarheid werd ontdekt door Clément Lecigne, een onderzoeker van Googles Threat Analysis Group. Dat is dezelfde groep die onlangs kwetsbaarheden in iOS ontdekten die actief werden misbruikt. Of het hier om vergelijkbare aanvallen en aanvallers gaat is niet bekend.

In de patch wordt ook een kwetsbaarheid gerepareerd in Microsoft Defender. Het gaat daarbij om CVE-2019-1255. Dat lek is een 'denial-of-service'-kwetsbaarheid. Een aanvaller die al toegang heeft tot een systeem kan daarmee zorgen dat Defender een false positive geeft. Dat zorgt ervoor dat een applicatie ten onrechte wordt geblokkeerd. De twee kwetsbaarheden hebben niets met elkaar te maken.

Door Tijs Hofmans

Nieuwscoördinator

24-09-2019 • 09:00

53 Linkedin

Lees meer

Reacties (53)

53
51
44
1
0
3
Wijzig sortering
Klopt het dat deze update nog niet via windows update te vinden is ?

edit: ja dus volgens info van deze pagina :
https://support.microsoft...ndows-10-update-kb4522016

Lijkt me niet al te handig dat mensen dit zelf moeten gaan downloaden ?

[Reactie gewijzigd door DDX op 24 september 2019 09:48]

Lijkt me ook niet handig om tegenwoordig nog Internet Exploder te gebruiken, maar men lijft vaak plakken aan het oude vertrouwde. Microsoft heeft zelf ondertussen ook een andere browser gemaakt, om IE links te laten liggen.

Dat ze hiervoor uberhaupt een patch hebben gemaakt is wel te waarderen.

[Reactie gewijzigd door xoleum op 24 september 2019 11:01]

Veel software en website van MS zijn nog steeds afhankelijk van good old IE, dus de ondersteuning zal er nog een tijdje zijn. De volgende fase is een IE mode binnen Edge voor dat soort toepassingen.
Is dat echt zo? Ik werk in een Microsoft omgeving en zie regelmatig nog Internet Expoler gebruikte, maar nauwelijks software die het vereist. Eerder sites of apps die aangeven dat MSIE niet goed werkt.
Enkele voorbeelden: SharePoint (online) maakt hier en daar nog gebruik van ActiveX. Microsoft examen registreren lukt ook enkel in IE. Volume licensing service center durft ook wel eens moeilijke te doen met niet IE browser.

Je merkt wel dat ze stappen zetten met het uitfaseren van IE, maar het zal nog niet voor morgen zijn. Vergeet niet dat het einde van IE (en activex) pas is aangekondigd in 2015 en veel Enterprise software van MS toch minstens een lifecycle heeft van 10 jaar. Ik verwacht pas echt een eol status van IE na 2025
Windows 10 zelf is nog afhankelijk van IE. Je ziet ook dat Microsoft IE net zolang zal ondersteunen als Windows 10.
Ik kan IE nergens meer vinden op mijn Windows 10 laptop. Volgens mij staat IE er überhaupt niet meer op... O-)
Open eens een website in Edge, klik rechtsboven op de 3 puntjes, dan More tools > Open with Internet Explorer :)
Er zijn nog steeds aardig wat programma's die IE gebruiken, wellicht denk jij dat je geen IE gebruikt maar doe je dat onbewust wel of tenminste een andere app die jij gebruikt, die gebruikt IE.
Denk dan bijvoorbeeld aan apps die '' gratis '' zijn en zo af en toe een reclame banner willen laten zien, maar er zijn ook ( vooral wel hele oude apps ) die helemaal afhankelijk zijn van IE om überhaupt te draaien.
Dus ook al gebruik jij IE niet actief ben je wellicht alsnog een mogelijk slachtoffer van dit lek, daarom is zo'n patch echt wel noodzakelijk.

Als ik nog een tip mag geven; ook al ( denk je ) niet IE te gebruiken, zet het beveiligingsniveau van IE op het hoogst/restricted zoals het ook standaard ingesteld staat op Windows Server installaties.
Eventueel ga je nog naar aangepaste instellingen en zet je alles wat mogelijk is uit/blokkeren.
Microsoft heeft bij de Windows Server versies deze kwetsbaarheid een lagere scores gegeven wat mij vermoedens geeft dat deze kwetsbaarheid wellicht niet te misbruiken is met de standaard IE instellingen op Windows Server, maar wellicht weet iemand anders daar meer over...
Wat een leuk werk lijkt me dat toch om te werken bij Googles Threat Analysis Group. Blijven zoeken naar foutjes, uren, dagen, maanden erin steken en dan de fix nog is schrijven en testen.
Defender een false positive geeft. Dat zorgt ervoor dat een applicatie ten onrechte wordt geblokkeerd.
Dit is nieteens zo heel erg. Het is kwalijk als een applicatie ten onrechte wordt toegestaan.
Als die false positives ervoor zorgen dat je laptop/pc onbruikbaar wordt heb je toch een groot probleem.

Vooral als je voor je werk afhankelijk bent van je apparaat...Kun je niets en kan het betekenen dat je alles opnieuw moet installeren na het opschonen.
Een aanvaller die al toegang heeft tot een systeem kan daarmee zorgen dat Defender een false posivite geeft.
Lijkt mij wel als Defender niet zelf heeft bepaald dat het een false positive is, maar een aanvaller.
Wat een leuk werk lijkt me dat toch om te werken bij Googles Threat Analysis Group. Blijven zoeken naar foutjes, uren, dagen, maanden erin steken en dan de fix nog is schrijven en testen.
Een fix schrijven en testen gebeurt natuurlijk door de softwareontwikkelaars zelf en niet zozeer door deze groep google's medewerkers. Misschien dat ze meehelpen oplossen van de problemen aan google's eigen software, of misschien een fix maken voor opensource software, maar veel andere software is closed source waar ze geen toegang tot hebben.
En als de gebruiker de false positives zo irritant vindt dat 'ie Windows Defender uitschakelt, ben je natuurlijk ook ver van huis.
Ik heb deze updates nog niet op mijn wsus langs zien komen. Ook niet na een handmatige sync. Iemand anders wel?
Wanneer komt het ong. beschikbaar in WSUS?
Hij is al beschikbaar, maar als onderdeel van de maandelijkse update (SSU) die eerder deze maand is uitgebracht:
https://support.microsoft...g-windows-10-version-1903

Grote kans dat je hem dus al hebt uitgerold.

[Reactie gewijzigd door Nighty op 24 september 2019 12:47]

Hier zit je ernaast..... De Servicing Stack update fixt wel wat, maar niet deze CVE. Er wordt aangeraden om eerst de Servicing Stack te installeren voor je de Cumulative installeert.

Nu zijn er deze maand 2 van die CU's verschenen. De eerste op 10-09, de tweede op 21-09. De laatste maakt die van 10-09 superseeded. Dus je moet die van 21-09 wel installeren.
Je hebt gelijk. Ik zat even scheef te kijken. Betekent wel dat deze update ook meekomt in de CU die volgende maand gereleased wordt.
Is weer lekker handig inderdaad. Enige optie is dus om die hele 900MB+ grote(2019-09 "C" week cumulatieve update) update te downloaden uit de windows update catalogus en handmatig te distribueren.

Nu is dat wel te doen, maar ook gezien het formaat van de update gewoon irritant onhandig. Snap niet dat ze hier niet gewoon(bij wijze van uitzondering) specifieke "compacte" patches voor uitbrengen.
Bedankt voor de info had dit zo snel nog niet gezien bij het doorklikken.

Verder lekker handig. Een noodpatch die ze niet gelijk ook op WSUS uitbrengen. Kan ik dan de conclusie trekken dat de nood toch niet zo heel hoog is?
Dit kan dus al misbruikt worden via een banner provider en een malicious banner injecteren in je eigen website?

Ik lees in de CVE nergens dat er ook elevated priviledges mee kunnen worden verkregen, enkel dat je al admin moet zijn op het systeem.

[Reactie gewijzigd door redfoxert op 24 september 2019 09:28]

Een hack gebeurt meestal met een aantal stappen. Remote Code execution is 1, daarna heb je meestal een unpriviledged shell.
Stap erna is privilege escalation. Als je Als root browset dan hoeft die extra stap niet. Daarna wil je vast persistency, pivoting of looting gaan doen.

Als je goed lees staat er dus dat er een zero-dat was met remote code executie, die ook nog eens chief misbruikt werd. Nice, dat is alweer ben geleden in IE meen ik.

[Reactie gewijzigd door Boudewijn op 24 september 2019 09:55]

Ja dat is dus wat ik ook las in de CVE. Alleen in het bericht hierboven staat het alsof met deze exploit ook priviledge escalation kan plaatsvinden en dat komt niet terug in de CVE. Daarvoor moet dus eerst een andere niet gepatchte exploit misbruikt worden.
Inderdaad.

Een kleinigheid, heel zuiver op de keper bezien: een andere niet gepatchte kwetsbaarheid misbruikt worden door een exploit.
Ik weet niet wat je invoermethode is maar er zitten wel veel foutjes in
Voordeel van een Windows RT apparaat, sinds kb4516067 werkt heel IE daar niet meer (certificate revoked) :D
Workaround is het deinstalleren van die betreffende update, dan kan ik in ieder geval weer een aantal dagen browsen in IE (totdat de update terug geïnstalleerd wordt).
Hopelijk brengt MS nog een patch uit voor deze ergernis.
Jammer genoeg is wel te merken dat IE een verouderde browser is, want de site van de buren van hardware.info werkt niet meer in IE op de Surface RT sinds hun laatste update.
Steeds meer begint weg te vallen, maar de 'app' versie van IE werkt al maanden niet meer, enkel nog de desktop versie. Maar zolang YouTube en Ziggo nog werken, vind ik het nog prima :P
Is er alleen een patch beschikbaar voor Windows 10? Of ook nog voor Windows 7?

Laat maar, antwoord al gevonden:

https://portal.msrc.micro...ce/advisory/CVE-2019-1367

[Reactie gewijzigd door ZesBarkiePK op 24 september 2019 10:02]

Misschien moeten ze toch eens kijken om internet explorer uit windows te halen? :)
In Windows Update en WSUS staat hij (nog) niet. Hierdoor gaat de grote meerderheid deze update niet installeren. (Welk percentage van de Windows userbase downloadt updates nog handmatig van de MS website?)
Ik hoeverre kan dit lek ook misbruikt worden via onderdelen van IE die standaard door Windows worden gebruikt? Helpt het wel om een andere browser te gebruiken?
Door wat permissies aan te passen kun je dit ook (tijdelijk) oplossen als je patch niet direct wil installeren:

takeown /f %windir%\syswow64\jscript.dll cacls %windir%\syswow64\jscript.dll /E /P everyone:N takeown /f %windir%\system32\jscript.dll cacls %windir%\system32\jscript.dll /E /P everyone:N

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee