Microsoft repareert twee zerodays in Windows tijdens Patch Tuesday

Microsoft heeft twee zerodaylekken in Windows gerepareerd. Tijdens Patch Tuesday werden in totaal 120 bugs gefixt, waaronder een bug in Internet Explorer en een spoofing-kwetsbaarheid die actief werden uitgebuit.

Van de 120 bugs zijn er 17 als 'kritiek' aangemerkt, blijkt uit de releasenotes van cumulative updates KB4566783 en KB4565351. Verder zijn 103 updates 'belangrijk'. Het is de derde grootste Patch Tuesday van Microsoft; alleen die in juni en juli van dit jaar waren groter.

Tussen de kwetsbaarheden zaten twee zerodays. Die bugs werden actief misbruikt, zegt Microsoft. Het gaat om een memory corruption-kwetsbaarheid in Internet Explorer met code CVE-2020-1380. Met die kwetsbaarheid kon een aanvaller via een phishingwebsite een slachtoffer infecteren en zo programma's installeren of nieuwe admingebruikers aanmaken. Het andere lek is CVE-2020-1464, een spoofing-kwetsbaarheid waarbij aanvallers een handtekening van een bestand konden namaken en zo zelf geïnfecteerde bestanden makkelijker konden installeren.

Een van de 'kritieke' bugs heeft betrekking op privilege escalation. Die krijgen doorgaans niet zo'n classificatie. Het gaat om CVE-2020-1472, waarbij een aanvaller een Netlogon-connectie kan leggen met een domain controller via het Netlogon Remote Protocol.

Windows 10-versie Update
1507 KB4571692
1607 KB4571694
1703 KB4571689
1709 KB4571741
1803 KB4571709
1809 KB4565349
1903/1909 KB4565351
2004 KB4566782

Door Tijs Hofmans

Nieuwscoördinator

12-08-2020 • 14:05

20

Lees meer

Reacties (20)

20
16
8
1
0
0
Wijzig sortering
"Het gaat om CVE-2020-1472, waarbij een aanvaller een Netlogon-connectie kan leggen met een domain controller via het Netlogon Remote Protocol."
Het gaat er om dat een aanvaller zonder credentials via insecure-rpc rechten (domain admin) kan bemachtigen op een domain controller. In februari 2021 komt de 2e patch hiervoor dat insecure-rpc niet langer toelaat. Dit kan je zelf al eerder uitvoeren (FullSecureChannelProtection) wanneer je zeker weet dat je geen legacy clients meer hebt binnen je domein. Dat komt er op neer dat je na deze 1e patch van 11 augustus moet monitoren op eventid 5829.
Duidelijke uitleg: https://twitter.com/RyanL...tatus/1293444151644626944

[Reactie gewijzigd door MrRobot op 22 juli 2024 15:59]

Bedankt voor deze interessante toevoeging. Zie hier ook meer info: https://dirteam.com/sande...29-on-domain-controllers/
Dit is blijkbaar ook gerepareerd "Issues updating or starting up devices when aksfridge.sys or aksdf.sys is present"
Dat is wel enorm handig.. Wij maken gebruik van de HASP driver om zo licentie dongles uit te kunnen lezen. Met een oudere driver versie (6.63) gaf de Windows 10 - 2004 upgrade een BSOD. Als we de driver updaten naar versie 8.11 dan werd deze BSOD voorkomen.

Maar als ze dit nu hebben gefixed dat een oudere driver geen problemen meer oplevert, dan heeft het upgraden van de driver niet zo'n heel erge haast meer (lees: hebben wij iets meer tijd...).

[Reactie gewijzigd door nextware op 22 juli 2024 15:59]

Konden er koelkasten en diepvriezers mee gehackt worden? }:O
De update is ook uit voor ondersteunde Windows 7 systemen. (ESU, Embedded, etc)

https://support.microsoft.../4571729/windows-7-update
Kan je na gaan als je je Windows uitkleed hoeveel potential attack vectors je kan weren.
Dat is ook hoe de nieuwe Windows Server sinds 2008 werkt. Alleen een basisset zonder GUI, je moet er zelf voor kiezen om rollen of de GUI te installeren.
17 kritiek en twee zerodays. Dat is nogal wat en dan weten we nog niet alles want het is closed source. In hoeverre er bugs in het geheim nog gepatcht zijn blijft ook een raadsel.
Ondanks dat blijkt elke maand weer dat windows continue kritiek lek is en het dus onverantwoord is om dit in een professionele setting te gebruiken. Ook dat blijkt uit de vele malware incidenten.
Er staat bij: Exploited - No, dus het is vooral preventief. Nu de patch is uitgegeven kan deze worden reverse-engineered waardoor het wel een risico wordt.
Ja, want alle bedrijven hebben de security verder dik op orde. Het zal eerder om een vorige kwetsbaarheid gaan zoals misschien: July 2020 Security Update: CVE-2020-1350 Vulnerability in Windows Domain Name System (DNS) Server
Dit Netlogon lek is netjes gemeld door Tom Tervoort van Secura, er is altijd een kans dat een hacker dat al eerder had gevonden, maar die zal het niet aan ransomware partijen verkopen maar aan nation states.
Er zit gif in de rivier, patch je de rivier of pak je de klootzak aan die het loost. In elk geval het is niet de rivier zijn schuld, die moet gewoon zorgen voor aanvoer/vervoer van schoon water.
Snap je het nu ongeveer.
Jij zei helemaal niets van dit wat je nu zegt hoor. :?
Dit was mijn originele reactie: Geeft wel ineens een andere blik op waarom er de laatste tijd zoveel bedrijven op onverklaarbare wijze via het Windows domain omver gegooid werden door cryptos
Er zijn 192792 andere mogelijkheden die makkelijker zijn omdat een flink aantal bedrijven wel patchen maar weinig andere, lastiger/vervelender/vertragende maatregelen nemen om bijvoorbeeld lateral movements te stoppen.
(gebrek aan) account hygiene is nog steeds een ding, shadow-IT ook, en de hoeveelheid legacy toxic IT spul moet je niet onderschatten.

Op dit item kan niet meer gereageerd worden.