Microsoft repareert twee zerodays in Windows tijdens Patch Tuesday

Microsoft heeft twee zerodaylekken in Windows gerepareerd. Tijdens Patch Tuesday werden in totaal 120 bugs gefixt, waaronder een bug in Internet Explorer en een spoofing-kwetsbaarheid die actief werden uitgebuit.

Van de 120 bugs zijn er 17 als 'kritiek' aangemerkt, blijkt uit de releasenotes van cumulative updates KB4566783 en KB4565351. Verder zijn 103 updates 'belangrijk'. Het is de derde grootste Patch Tuesday van Microsoft; alleen die in juni en juli van dit jaar waren groter.

Tussen de kwetsbaarheden zaten twee zerodays. Die bugs werden actief misbruikt, zegt Microsoft. Het gaat om een memory corruption-kwetsbaarheid in Internet Explorer met code CVE-2020-1380. Met die kwetsbaarheid kon een aanvaller via een phishingwebsite een slachtoffer infecteren en zo programma's installeren of nieuwe admingebruikers aanmaken. Het andere lek is CVE-2020-1464, een spoofing-kwetsbaarheid waarbij aanvallers een handtekening van een bestand konden namaken en zo zelf geïnfecteerde bestanden makkelijker konden installeren.

Een van de 'kritieke' bugs heeft betrekking op privilege escalation. Die krijgen doorgaans niet zo'n classificatie. Het gaat om CVE-2020-1472, waarbij een aanvaller een Netlogon-connectie kan leggen met een domain controller via het Netlogon Remote Protocol.

Windows 10-versie Update
1507 KB4571692
1607 KB4571694
1703 KB4571689
1709 KB4571741
1803 KB4571709
1809 KB4565349
1903/1909 KB4565351
2004 KB4566782

Door Tijs Hofmans

Redacteur

12-08-2020 • 14:05

20 Linkedin

Lees meer

Reacties (20)

Wijzig sortering
"Het gaat om CVE-2020-1472, waarbij een aanvaller een Netlogon-connectie kan leggen met een domain controller via het Netlogon Remote Protocol."
Het gaat er om dat een aanvaller zonder credentials via insecure-rpc rechten (domain admin) kan bemachtigen op een domain controller. In februari 2021 komt de 2e patch hiervoor dat insecure-rpc niet langer toelaat. Dit kan je zelf al eerder uitvoeren (FullSecureChannelProtection) wanneer je zeker weet dat je geen legacy clients meer hebt binnen je domein. Dat komt er op neer dat je na deze 1e patch van 11 augustus moet monitoren op eventid 5829.
Duidelijke uitleg: https://twitter.com/RyanL...tatus/1293444151644626944

[Reactie gewijzigd door MrRobot op 12 augustus 2020 14:20]

Bedankt voor deze interessante toevoeging. Zie hier ook meer info: https://dirteam.com/sande...29-on-domain-controllers/
Dit is blijkbaar ook gerepareerd "Issues updating or starting up devices when aksfridge.sys or aksdf.sys is present"
Dat is wel enorm handig.. Wij maken gebruik van de HASP driver om zo licentie dongles uit te kunnen lezen. Met een oudere driver versie (6.63) gaf de Windows 10 - 2004 upgrade een BSOD. Als we de driver updaten naar versie 8.11 dan werd deze BSOD voorkomen.

Maar als ze dit nu hebben gefixed dat een oudere driver geen problemen meer oplevert, dan heeft het upgraden van de driver niet zo'n heel erge haast meer (lees: hebben wij iets meer tijd...).

[Reactie gewijzigd door nextware op 12 augustus 2020 16:42]

Konden er koelkasten en diepvriezers mee gehackt worden? }:O
De update is ook uit voor ondersteunde Windows 7 systemen. (ESU, Embedded, etc)

https://support.microsoft.../4571729/windows-7-update
Kan je na gaan als je je Windows uitkleed hoeveel potential attack vectors je kan weren.
Dat is ook hoe de nieuwe Windows Server sinds 2008 werkt. Alleen een basisset zonder GUI, je moet er zelf voor kiezen om rollen of de GUI te installeren.
17 kritiek en twee zerodays. Dat is nogal wat en dan weten we nog niet alles want het is closed source. In hoeverre er bugs in het geheim nog gepatcht zijn blijft ook een raadsel.
Ondanks dat blijkt elke maand weer dat windows continue kritiek lek is en het dus onverantwoord is om dit in een professionele setting te gebruiken. Ook dat blijkt uit de vele malware incidenten.
Er staat bij: Exploited - No, dus het is vooral preventief. Nu de patch is uitgegeven kan deze worden reverse-engineered waardoor het wel een risico wordt.
Ja, want alle bedrijven hebben de security verder dik op orde. Het zal eerder om een vorige kwetsbaarheid gaan zoals misschien: July 2020 Security Update: CVE-2020-1350 Vulnerability in Windows Domain Name System (DNS) Server
Dit Netlogon lek is netjes gemeld door Tom Tervoort van Secura, er is altijd een kans dat een hacker dat al eerder had gevonden, maar die zal het niet aan ransomware partijen verkopen maar aan nation states.
Er zit gif in de rivier, patch je de rivier of pak je de klootzak aan die het loost. In elk geval het is niet de rivier zijn schuld, die moet gewoon zorgen voor aanvoer/vervoer van schoon water.
Snap je het nu ongeveer.
Jij zei helemaal niets van dit wat je nu zegt hoor. :?
Dit was mijn originele reactie: Geeft wel ineens een andere blik op waarom er de laatste tijd zoveel bedrijven op onverklaarbare wijze via het Windows domain omver gegooid werden door cryptos
Er zijn 192792 andere mogelijkheden die makkelijker zijn omdat een flink aantal bedrijven wel patchen maar weinig andere, lastiger/vervelender/vertragende maatregelen nemen om bijvoorbeeld lateral movements te stoppen.
(gebrek aan) account hygiene is nog steeds een ding, shadow-IT ook, en de hoeveelheid legacy toxic IT spul moet je niet onderschatten.

Op dit item kan niet meer gereageerd worden.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.




Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee