Microsoft dicht vier zerodays, waarvan twee al actief misbruikt werden

Microsoft heeft tijdens Patch Tuesday vijf zerodays gedicht. Twee daarvan werden al actief misbruikt. In totaal werden 117 kwetsbaarheden gedicht, waarvan er drie als kritiek zijn aangemerkt.

De zerodays die al misbruikt werden, zijn allebei remotecode-executionfouten. Een van de fouten, CVE-2024-43573, zit in het Mshtml-platform, dat gebruikt werd door Internet Explorer en Microsoft Edge Legacy. Componenten daarvan zitten nog altijd in Windows en zijn dus kwetsbaar.

De andere zeroday, CVE-2024-43572, zit in Microsoft Management Console. Misbruik van deze fout zorgt ervoor dat malafide Microsoft Saved Console-bestanden worden geopend, waarna kwaadwillenden op afstand eigen code kunnen uitvoeren op het getroffen systeem.

Naast de zerodays zijn er dus ook drie kritieke kwetsbaarheden gedicht tijdens Patch Tuesday. Net als de zerodays zijn ook deze kwetsbaarheden remotecode-executionfouten, waarmee aanvallers eigen code op getroffen systemen kunnen uitvoeren. De volledige lijst met patches is te vinden op de website van Microsoft.

Update 13:26: er stond dat er vijf zerodays en in totaal 118 kwetsbaarheden gedicht waren. Dit moeten er vier en 117 zijn. Het artikel is daarop aangepast.

Reacties (34)

kozue 10 oktober 2024 09:40

Lekken werden actief misbruikt en MS wacht rustig tot een specifieke dag voordat ze er een patch voor uitbrengen? Vind je het gek dat Windows zo’n slechte reputatie heeft op security gebied. Waarom komt die patch niet meteen wanneer die klaar is?

[Reactie gewijzigd door kozue op 10 oktober 2024 09:40]

Blokker_1999

Microsoft
Beveiliging en antivirus
Security

@kozue • 10 oktober 2024 11:35

En waar heeft Windows nog een slechte reputatie op security gebied? Ik denk dat er vele admins zijn die net zeer positief staan tegenover de beveiliging van Windows.

Kijk ook eens naar de concurentie zou ik zeggen. De reputatie van Apple is bij vele beheerders nog slechter. Niet alleen heeft Apple geen eigen tooling om eenvoudig een groot aantal systemen te beheren, Apple heeft ook een reputatie van ernstige kwetsbaarheden soms maanden te laten liggen. Is dat dan de betere oplossing?

Misschien Linux? Soms sneller met het oplossen van problemen, maar ook weer zeer afhankelijk van vele factoren. En ook daar moet je maar weer op zoek naar een geschikt platform om alles van te beheren.

Ja, er zijn 2 lekken die actief misbruikt worden, maar wat wil dat zeggen: actief misbruikt? Hoe eenvoudig is het om te misbruiken? Aan welke voorwaarden moet voldaan zijn?

Wanneer ik naar de ernst van deze kwetsbaarheden kijk, en even analyseer wat er nodig is om ze te misbruiken en welke score ze krijgen, dan ga ik ook gewoon akkoord met de beslissing van MS om mogelijks enkele dagen te wachten met het uitbrengen van deze patches. Want je kan ook niet zeggen hoe lang ze deze al opgelost hebben. Hebben we er 28 dagen op moeten wachten of is het nu met 2 dagen vertraging uitgekomen? Ook dat speelt mee. Want patches van Microsoft worden in vele bedrijven grondig getest voor ze naar eindgebruikers gaan, en elke patch die niet volgens het reguliere schema komt en je dan gaat installeren kan enorm veel extra werk met zich meebrengen.

-DEVON- @Blokker_1999 • 10 oktober 2024 15:58

Duidelijk uitgelegd!

Nog een kleine toevoeging; alles dient ook heel zorgvuldig getest te worden en dat kost ook simpelweg tijd.
Je wilt geen Cloudstrike toestanden hebben omdat je net niet alle scenario's hebt gedekt. En we weten allemaal dat er heel veel vrijheid is qua hardware en Windows en je dus eindeloos aantal combinaties kan maken. Er moeten dus erg veel testen worden uitgevoerd.

bush @kozue • 10 oktober 2024 09:57

De reputatie van Windows is helemaal zo slecht niet als je onafhankelijke rapporten er op naleest.
Microsoft's enterprise klanten waren vragende partij voor een vast patchdag, met het oog op werklast planning.
Er is een preview programma waarin je de patches eerder kan krijgen

Loller1

Microsoft

@kozue • 10 oktober 2024 11:48

Met 118 lekken op 1 maand ben je hier nu letterlijk aan het vragen dat Microsoft iedere 6 uur een nieuwe versie van iedere getroffen ondersteunde versie van Windows uitbrengt, dat kunnen tot 64 releases per dag zijn momenteel. Daar staan klanten echt om te springen...

Zoals andere al aanhalen heeft Windows helemaal geen slechte reputatie omtrent beveiliging.

[Reactie gewijzigd door Loller1 op 10 oktober 2024 11:53]

Alex3 @kozue • 10 oktober 2024 13:19

Dan had je je computer deze maand 118 keer moeten rebooten als elke kwetsbaarheid direct gepatcht zou worden. Niet zo handig als je een server draait. Dan zijn websites vaker uit dan in de lucht.

Cybje @Alex3 • 10 oktober 2024 15:12

Dat lijkt me haast niet, want veel dingen zijn gewoon te patchen zonder reboot (soms moet je alleen een service herstarten). Daarnaast, als je website zo belangrijk is dat reboots voor een security patch een probleem zijn, hoort die website niet afhankelijk te zijn van 1 server.

Aldy @Cybje • 10 oktober 2024 16:22

Volgens mij zijn er ook nog andere servers dan die waar een website op draait.

nextware @kozue • 10 oktober 2024 13:40

Dan krijg je, net als vroeger, als je een vers geïnstalleerde PC wil updaten (die wellicht met een iets ouder image is geïnstalleerd) dat je eerst letterlijk 100'en updates moet installeren. Nu staat alles netjes in een cumulative update die, wanneer deze wordt geïnstalleerd, alle Windows Updates (en dan heb ik het niet over driver updates of Defender updates) je Windows in één keer geheel naar de laatste versie brengt.

Voorheen zat je vaak uren achter elkaar te wachten. Installeer je een sloot updates, reboot, nog een checken, weer tientallen updates, etc.

Deze manier van cumulative maandelijkse updates maakt het voor beheerders (en gebruikers) vaak veel makkelijker. En Microsoft brengt ook soms een emergency update uit als er echt issues zijn.

amigob2 10 oktober 2024 09:12

Wat ik mis hier is hoe ze die zerodays kunnen gebruiken.
Hoe kunnen ze bij de zerodays van af het internet ?
Wat is er nodig dat ze dit kennen misbruiken.

vb. ik zit achter een firewall, waar maar 2 poorten open staan naar mijn PC. Heb je dan een probleem

rodie83 @amigob2 • 10 oktober 2024 09:20

Dan moet je dus de CVE's lezen, daar staan de details in.

asing @amigob2 • 10 oktober 2024 09:57

Die exploits worden vaak te koop aangeboden op het Dark Web. Ze zijn heel waardevol zolang ze niet uitlekken. Niet alleen waardevol voor hackers, maar ook voor overheidsdiensten die ergens willen infiltreren of zich toegang willen verschaffen tot digitaal opgeslagen bewijsmateriaal.

Een programma voor dit soort hacks is Metasploit.

Als antwoord op je laatste vraag, het hangt er maar net vanaf welke poorten. Het gevaar zit in de service die op die poort luistert. Als die lek is en er is een mogelijkheid om uit de applicatie te breken, dan ben je kwetsbaar. Heb je bijvoorbeeld 3389 (remote desktop) open hebben gezet, en één van de CVEs beschrijft een lek in dat protocol waardoor het remote is te misbruiken, dan kan je last krijgen.

garriej @amigob2 • 10 oktober 2024 09:58

In beide CVE's staat: Successful exploitation of this vulnerability requires a user to take some action before the vulnerability can be exploited.

Dus ik zou me niet teveel zorgen maken als ik jou was.

Itrme @garriej • 10 oktober 2024 11:16

Dat betekent alleen dat ze verleid moeten worden bijv ergens op de klikken of iets te openen en dat is redelijk snel voor elkaar te krijgen. In het geval van de MMC kwetsbaarheid hoeven ze blijkbaar alleen het bestand te openen.

Natuurlijk is dat een stap verder dan ze hoeven alleen op een besmette website belanden of de mail in de inbox zien verschijnen. Maar toch.

Pas als ik "requires elevated permissions" zie staan, dan maak ik me minder zorgen aangezien gebruikers geen local admin zouden moeten zijn.

curkey @amigob2 • 10 oktober 2024 09:59

Als jij ergens iets doet om de malware te activeren, zoals een attachment openen of een besmette site te bezoeken, dan zoekt jouw computer contact. Dat gaat die firewall niet tegenhouden, omdat het initiatief van binnen het lan kwam.

Hobbit13 @curkey • 10 oktober 2024 12:41

De systeembeheerder van een bedrijfje waar ik tijdens afstuderen zat, weigerde anti-virus software te installeren op de Windows PCs (in de tijd voordat dat standaard in Windows zat). Volgens hem was dat onzin, want ze hadden een goede firewall. Lukte me niet om hem te laten inzien dat die firewall niet veel kon uithalen tegen geïnfecteerde bestanden die bv via encrypted zipjes binnen kwamen (laat staan USB sticks e.d.).

t-force

@amigob2 • 10 oktober 2024 10:56

Als dat poorten 3389 en 445 zijn dan heb je best een potentieel probleem.
Of bijv. 80/443 als er een slecht gemaakte webinterface applicatie op staat.
Dus het aantal poorten zegt helemaal niks. Met 1 verkeerde poort kan je al flink de sjaak zijn.

kdekker 10 oktober 2024 09:22

De meeste hacks zijn een combinatie tussen een hacker die iets doet (bijv. mail verstuurd) en de combinatie dat de gebruiker overtuigt om iets te doen.

Een mmc bestand wordt niet zomaar toegestuurd en al helemaal zou je dat niet moeten openen. De hacker heeft dus meer succes naarmate de ontvanger of onkundig is (common sense ontbreekt) of de verleiding zo groot was, dat ook een kundig persoon toehapt.

Uiteraard heb je dan nog de hacks op systemen die aan het internet hangen en vatbaar zijn voor zero-days/remote execution, al dan niet in trappen via een achterdeur, bot, malware oid.

Vanuit oogpunt van Microsoft niet meer dan logisch dat ze zeggen dat ze iets opgelost hebben (is ook goed voor de beeldvorming, maar ook noodzakelijk voor de gebruikers), maar wat nu precies de impact is, is ondanks een CVE score, lastig te zeggen per persoon en organisatie.

@amigob2 : een firewall blocked inkomend verkeer. Als je al geinfecteerd bent en via een bekende ip poort gecommuniceerd wordt, zal uitgaand verkeer altijd een antwoord terug kunnen krijgen. Zo staat iedere firewall ingesteld. Ik neem aan dat je kunt browsen op die PC en dus geldt het adagium: als jij naar buiten kunt, kan een ander ook naar binnen.

DePruus 10 oktober 2024 09:02

Heel goed, dat patchen. Ik vraag mij af, wie is aansprakelijk als jouw systeem zo overgenomen is? En kun je dat bewijzen? De eindgebruiker zit met de directe trammelant. Wie o wie?

Zer0 @DePruus • 10 oktober 2024 09:06

Ik vraag mij af, wie is aansprakelijk als jouw systeem zo overgenomen is?

In eerste instantie degene die je systeem overgenomen heeft...

DrClaw @Zer0 • 10 oktober 2024 09:13

De hacker is niet aansprakelijk lijkt me. De beheerorganistie van het systeem is aansprakelijk, want die heeft verantwoordelijkheid om het systeem naar het laatste patchniveau te brengen. De leverancier heeft een verantwoordelijkheid om patches voor bugs uit te brengen binnen een afgesproken tijd. Als die afspraak wordt geschonden, moedwillig of door onkunde of iets anders, dan zou de leverancier van de software misschien nog aansprakelijk gemaakt kunnen worden.

EQJim @DrClaw • 10 oktober 2024 09:20

De hacker is niet aansprakelijk? Hoe kom je daarbij? Er is nog steeds sprake van oneigenlijke toegang tot een systeem waar je geen toegang voor gekregen hebt.

Als een hacker niet aansprakelijk is, waarom worden ze dan vervolgd volgens jou?

TTommie @DrClaw • 10 oktober 2024 09:21

LOL, jij bent een mooie...

MneoreJ @DrClaw • 10 oktober 2024 09:31

Ik denk dat je een verkeerde definitie van "aansprakelijk" hanteert hier. De meeste mensen bedoelen niet letterlijk "kan er rechtstreeks op aangesproken worden door de eindgebruiker", wat jij lijkt te bedoelen. Dat is eerder aanspreekbaar. Mr. Hacker kun je inderdaad niet opbellen en "hee, wat doe je nou" vragen, maar is uiteraard primair verantwoordelijk voor de onrechtmatige daad, ongeacht wie er mogelijk nalatig zouden kunnen zijn geweest.

nullbyte @DrClaw • 10 oktober 2024 09:50

LOL jij hebt zeker nooit van wetgeving gehoord omtrent het onrechtmatig binnendringen van een geautomatiseerd werk.

Wouterie @DrClaw • 10 oktober 2024 11:04

Euh nee, computervredebreuk is strafbaar. Net als een huis binnengaan (wat niet van jou is) als het slot brak is. Dan blijft het inbreken. Mocht de deur openstaan, dan is het insluiping, wat dan ook weer strafbaar is. Als je het hebt over verwijtbare nalatigheid dan kan het zijn dat een deel van de aansprakelijkheid verschuift naar de partij die nalatig is geweest. Doorgaans zijn daar regels voor, zoals dat je de auto op slot moet doen als je wilt dat de verzekering iets uitbetaalt. Of dat de nodige inspanning levert om te voldoen aan een gesteld veiligheidsniveau.

Punt blijft dat de crimineel strafbaar is en aansprakelijk blijft voor de schade. Als die crimineel echter niet berecht kan worden en er dus ook niets te halen valt, dan wordt er nog weleens gekeken naar de nalatige partij.

PCG2020 @DePruus • 10 oktober 2024 09:48

Dit is een goede vraag voor @Arnoud Engelfriet, denk ik. Ik heb er zelf wel wat ideeën over, maar ik weet er te weinig van om een goed antwoord op je vraag te geven. Misschien ligt het er ook aan of jouw verzekering 'computervredebreuk' dekt en onder welke voorwaarden je daar aanspraak op kunt maken.

(Uiteindelijk is de hacker natuurlijk aansprakelijk, maar het is vaak lastig om de schade op hen te verhalen. Het is de vraag of je iemand überhaupt ooit te pakken krijgt. Dat is een kwestie van een hele lange adem.)

[Reactie gewijzigd door PCG2020 op 10 oktober 2024 09:51]

DePruus @PCG2020 • 10 oktober 2024 13:35

Ik zie ook veel ruis. Is Windows ook aansprakelijk omdat zij die zero day fout, but, hebben in hun software. Kortom, wellicht kan Arnoud meer licht brengen.

wooha @DePruus • 10 oktober 2024 14:26

De aansprakelijkheid beperken ontwikkelaars in hun licentievoorwaarden, voorzover dat toegestaan is in wetgeving.

Als die wetgeving zou worden aangepast, dan zou de prijs van software omhoog gaan vanwege verzekeringspremies of er zou af en toe een fabrikant omvallen vanwege enorme claims.

Nu kunnen gebruikers zich zelf proberen te verzekeren, zoals @PCG2020 opmerkt. En/of andere maatregelen nemen, mogelijk gedwongen door hun verzekeraar.

Daar kan iedereen wat van vinden uiteraard.

DePruus @wooha • 10 oktober 2024 17:15

Dank!

gaskabouter @DePruus • 10 oktober 2024 12:07

Je bent altijd verantwoordelijk voor je eigen veiligheid. Maar als iemand de wet overtreedt kun je diegene aansprakelijk stellen. Dus jij bent verantwoordelijk je huis, auto of computer redelijkerwijs veilig te houden. Als er toch iemand inbreekt kun je diegene aansprakelijk stellen voor eventuele schade. En als je dan toch aangifte doet kan justitie meteen diegene vervolgen voor het strafbare feit wat hij of zij gepleegd heeft.

Fabrikanten hebben geen verplichting tenzij anders overeengekomen. Alles jij een huis zonder sloten wil kopen of een computer zonder beveiliging dan mag dat. Denk bijvoorbeeld aan kinder tablets.

sprankel @DePruus • 10 oktober 2024 12:36

Juridisch gesproken zal de dader altijd aansprakelijk zijn, het slachtoffer mogelijks aansprakelijk indien er sprake is van nalatigheid / geen goede huisvader.

Om dat even te illustereren met een ongeval, ik rijd achteraan in op jou auto dus ik ben aansprakelijk. Echter jij droeg jou gordel niet hoewel jij wettelijk verplicht bent die te dragen dus in dat geval word jij zelf aansprakelijk gesteld voor de lichamelijke schade die voortvloeit uit het niet dragen van de gordel, alle schade daarbuiten blijf ik aansprakelijk voor. (reken maar op jarenlange rechtzaken met expert vs tegenexpert om te bepalen hoeveel schade er nu exact voortvloeit uit het feit dat jij geen gordel aanhad, tenzij het schadebedrag niet de moeite is om een rechtzaak van te maken)

Als jij helemaal niet in jou auto mocht zitten omdat je geen rijbewijs hebt of je zit dronken achter het stuur kan jou aansprakelijkheid nog veel verder oplopen. Iets wat veel mensen niet beseffen als ze dronken rijden, niet enkel ben je volledig in fout als de dronken persoon een ongeval veroorzaakt, je bent ook in fout als iemand anders je van de baan rijd ook al zou je volledig in je recht zijn geweest en ook al kon je er echt niets aan doen.

Bij computervrede breuk geld hetzelfde, in principe is de hacker aansprakelijk (ervan uitgaande dat je deze persoon kan identificeren wat doorgaans wel een probleem is) en is het slachtoffer niet aansprakelijk. Als echter blijkt dat het slactoffer zich niets aantrok van security dan kan deze deels of volledig mee aansprakelijk gesteld worden.

Bij een consument valt die schade mee en blijft dat binnen de prive sfeer maar als het een bedrijf betreft waarbij 3de partijen schade ondervinden kan dat gebeuren. Je kan niet bedrijfsmatig medische documenten beheren, laks hebben aan alle security en alles open gooien richting internet en vervolgens claimen dat je zuiver slachtoffer bent en jou niets te verwijten valt. Daar is overigens ook meer en meer wetgeving die expliciet bedrijven aansprakelijk stelt als ze bezig zijn met zaken die een zware impact kunnen hebben om de maatschappij.

Als jij echter als bedrijf wel als goede huisvader optreed en je security op orde hebt maar je hebt toch prijs dan ben je weer niet aansprakelijk.

En op de klassieke vraag is Microsoft dan aansprakelijk? Hetzelfde verhaal als een ander bedrijf, zijn ze uitdrukkelijk nalatig geweest en hebben ze niet opgetreden als goede huisvader? Zo ja kan je ze aansprakelijk stellen zo nee kan het niet.

[Reactie gewijzigd door sprankel op 10 oktober 2024 12:38]

HADES2001 10 oktober 2024 09:43

"Microsoft heeft tijdens Patch Tuesday vijf zerodays gedicht. Twee daarvan werden al actief misbruikt. In totaal werden 118 kwetsbaarheden gedicht, waarvan er drie als kritiek zijn aangemerkt."

Wat is CVE 118 eigenlijk en de vijfde zero day? de microsoft site zelf spreekt over 117 waarvan 4 zero days geen 5. is er een nieuws update vanuit Microsoft dat iets misde in de informatie? kan op geen enkel andere nieuwssite hier iets over vinden iedereen spreekt over 117 met 4 zero days

[Reactie gewijzigd door HADES2001 op 10 oktober 2024 09:44]

Ximaar 10 oktober 2024 12:01

Ik plaats hier maar even een reactie omdat er met de oktober-update nog iets is gebeurd in Win10. De taken voor Nieuws en Interesses wordt bij opstarten geladen, ook al geruik je geen Edge en staat het in de taakbak op Uitgeschakeld. Dit was eerder niet zo. Heb de exe-file die dat doet van naam veranderd, waardoor deze 6 subtaken niet meer opstarten. Vind het niet netjes, Uit is bij mij Uit.

Aanvulling. Bestandsdatum is 5 okt en dus meegelift op 10 oktober. Had 'm alleen nodig voor de nieuwe Teams. Dat programma gebruik ik maar eens per jaar is er dus af. Gebruik wel de webversie.

[Reactie gewijzigd door Ximaar op 11 oktober 2024 17:28]

Op dit item kan niet meer gereageerd worden.

Microsoft dicht vier zerodays, waarvan twee al actief misbruikt werden

Lees meer

Reacties (34)

Sorteer op:

Weergave: