Microsoft repareert twee zerodays in Windows tijdens Patch Tuesday

Microsoft heeft twee zerodaylekken in Windows gerepareerd. Tijdens Patch Tuesday werden in totaal 120 bugs gefixt, waaronder een bug in Internet Explorer en een spoofing-kwetsbaarheid die actief werden uitgebuit.

Van de 120 bugs zijn er 17 als 'kritiek' aangemerkt, blijkt uit de releasenotes van cumulative updates KB4566783 en KB4565351. Verder zijn 103 updates 'belangrijk'. Het is de derde grootste Patch Tuesday van Microsoft; alleen die in juni en juli van dit jaar waren groter.

Tussen de kwetsbaarheden zaten twee zerodays. Die bugs werden actief misbruikt, zegt Microsoft. Het gaat om een memory corruption-kwetsbaarheid in Internet Explorer met code CVE-2020-1380. Met die kwetsbaarheid kon een aanvaller via een phishingwebsite een slachtoffer infecteren en zo programma's installeren of nieuwe admingebruikers aanmaken. Het andere lek is CVE-2020-1464, een spoofing-kwetsbaarheid waarbij aanvallers een handtekening van een bestand konden namaken en zo zelf geïnfecteerde bestanden makkelijker konden installeren.

Een van de 'kritieke' bugs heeft betrekking op privilege escalation. Die krijgen doorgaans niet zo'n classificatie. Het gaat om CVE-2020-1472, waarbij een aanvaller een Netlogon-connectie kan leggen met een domain controller via het Netlogon Remote Protocol.

Windows 10-versie	Update
1507	KB4571692
1607	KB4571694
1703	KB4571689
1709	KB4571741
1803	KB4571709
1809	KB4565349
1903/1909	KB4565351
2004	KB4566782

Reacties (20)

MrRobot

12 augustus 2020 14:17

"Het gaat om CVE-2020-1472, waarbij een aanvaller een Netlogon-connectie kan leggen met een domain controller via het Netlogon Remote Protocol."
Het gaat er om dat een aanvaller zonder credentials via insecure-rpc rechten (domain admin) kan bemachtigen op een domain controller. In februari 2021 komt de 2e patch hiervoor dat insecure-rpc niet langer toelaat. Dit kan je zelf al eerder uitvoeren (FullSecureChannelProtection) wanneer je zeker weet dat je geen legacy clients meer hebt binnen je domein. Dat komt er op neer dat je na deze 1e patch van 11 augustus moet monitoren op eventid 5829.
Duidelijke uitleg: https://twitter.com/RyanL...tatus/1293444151644626944

[Reactie gewijzigd door MrRobot op 22 juli 2024 15:59]

WarrieJunioR @MrRobot • 12 augustus 2020 15:53

Bedankt voor deze interessante toevoeging. Zie hier ook meer info: https://dirteam.com/sande...29-on-domain-controllers/

Jessez 12 augustus 2020 16:04

Dit is blijkbaar ook gerepareerd "Issues updating or starting up devices when aksfridge.sys or aksdf.sys is present"

nextware @Jessez • 12 augustus 2020 16:40

Dat is wel enorm handig.. Wij maken gebruik van de HASP driver om zo licentie dongles uit te kunnen lezen. Met een oudere driver versie (6.63) gaf de Windows 10 - 2004 upgrade een BSOD. Als we de driver updaten naar versie 8.11 dan werd deze BSOD voorkomen.

Maar als ze dit nu hebben gefixed dat een oudere driver geen problemen meer oplevert, dan heeft het upgraden van de driver niet zo'n heel erge haast meer (lees: hebben wij iets meer tijd...).

[Reactie gewijzigd door nextware op 22 juli 2024 15:59]

ToolBee @Jessez • 12 augustus 2020 16:34

Konden er koelkasten en diepvriezers mee gehackt worden?

Punkbuster @ToolBee • 12 augustus 2020 16:35

$_/-\o_$

Tyrian 12 augustus 2020 19:55

De update is ook uit voor ondersteunde Windows 7 systemen. (ESU, Embedded, etc)

https://support.microsoft.../4571729/windows-7-update

Marctraider 12 augustus 2020 17:37

Kan je na gaan als je je Windows uitkleed hoeveel potential attack vectors je kan weren.

Trommelrem @Marctraider • 12 augustus 2020 18:25

Dat is ook hoe de nieuwe Windows Server sinds 2008 werkt. Alleen een basisset zonder GUI, je moet er zelf voor kiezen om rollen of de GUI te installeren.

souplost 13 augustus 2020 15:24

17 kritiek en twee zerodays. Dat is nogal wat en dan weten we nog niet alles want het is closed source. In hoeverre er bugs in het geheim nog gepatcht zijn blijft ook een raadsel.
Ondanks dat blijkt elke maand weer dat windows continue kritiek lek is en het dus onverantwoord is om dit in een professionele setting te gebruiken. Ook dat blijkt uit de vele malware incidenten.

MrRobot

@themadone • 12 augustus 2020 17:43

Er staat bij: Exploited - No, dus het is vooral preventief. Nu de patch is uitgegeven kan deze worden reverse-engineered waardoor het wel een risico wordt.

MrRobot

@themadone • 12 augustus 2020 17:59

Ja, want alle bedrijven hebben de security verder dik op orde. Het zal eerder om een vorige kwetsbaarheid gaan zoals misschien: July 2020 Security Update: CVE-2020-1350 Vulnerability in Windows Domain Name System (DNS) Server
Dit Netlogon lek is netjes gemeld door Tom Tervoort van Secura, er is altijd een kans dat een hacker dat al eerder had gevonden, maar die zal het niet aan ransomware partijen verkopen maar aan nation states.

Mel33 @themadone • 12 augustus 2020 19:39

Er zit gif in de rivier, patch je de rivier of pak je de klootzak aan die het loost. In elk geval het is niet de rivier zijn schuld, die moet gewoon zorgen voor aanvoer/vervoer van schoon water.
Snap je het nu ongeveer.

Mel33 @themadone • 12 augustus 2020 20:40

Jij zei helemaal niets van dit wat je nu zegt hoor.

themadone @Mel33 • 13 augustus 2020 09:34

Dit was mijn originele reactie: Geeft wel ineens een andere blik op waarom er de laatste tijd zoveel bedrijven op onverklaarbare wijze via het Windows domain omver gegooid werden door cryptos

alt-92 @themadone • 13 augustus 2020 20:11

Er zijn 192792 andere mogelijkheden die makkelijker zijn omdat een flink aantal bedrijven wel patchen maar weinig andere, lastiger/vervelender/vertragende maatregelen nemen om bijvoorbeeld lateral movements te stoppen.
(gebrek aan) account hygiene is nog steeds een ding, shadow-IT ook, en de hoeveelheid legacy toxic IT spul moet je niet onderschatten.

Op dit item kan niet meer gereageerd worden.

Microsoft repareert twee zerodays in Windows tijdens Patch Tuesday

Lees meer

Reacties (20)

Sorteer op:

Weergave: