Actief misbruikt Windows-gat - en 48 andere patches

Patch Tuesday levert Windows-systeembeheerders deze keer een oplossing voor 49 CVE's. Er is een aantal patches voor onder meer SQL Server en Hyper-V, maar als je meer met pc's te maken hebt, wordt er aantal browsergaten aangepakt, waarvan tenminste eentje wordt gebruikt bij aanvallen.

Traditioneel rolt Adobe ook tegelijkertijd zijn patches uit. Eerder deze maand werd al een monsterpatch uitgebracht voor een forse serie kwetsbaarheden in Acrobat Reader. De PDF-lezer had maar liefst 80 gaten. Op de Patch Tuesday werden patches uitgebracht voor onder meer Flash Player en DTP-software Framemaker.

Browserpatches

De kritieke patches van Microsoft richten zich voornamelijk op issues met browsers Edge en Internet Explorer, mede vanwege een aantal kwetsbaarheden in Microsofts JScript-engine. Kwaadwillenden kunnen zonder de patches onder meer een geheugenaanval uitvoeren op browser Edge en malafide code uitvoeren via PowerShell - een aanvalsmethode die flink groeitomdat systemen aangevallen kunnen worden zonder specifieke malware, maar legitiem ogende scripts worden uitgevoerd via admintools.

Omdat aanvallen via de browser worden uitgevoerd, is deze serie kritieke patches belangrijk voor werkstations. Het gaat om CVE-2018-8460 voor IE, CVE-2018-8473 voor Edge, CVE-2018-8491 voor IE, CVE-2018-8509 voor Edge en patches voor JScript-engine Chakra en IE/Edge, te weten CVE-2018-8500, CVE-2018-8510, CVE-2018-8511 en CVE-2018-8513.

Malware-aanvallen

Maar het grootst lijkende issue is waarschijnlijk de actief misbruikte Windows-bug. Niet alleen omdat het een rechten-escalerende kwetsbaarheid betreft, maar ook omdat hij actief wordt misbruikt in aanvallen, zo merkt de advisory van Microsoft op. "Er wordt weinig informatie gegeven over de actieve aanvallen, maar gezien het soort kwetsbaarheid en het bedanken van Kaspersky lab voor het opmerken, wordt [de exploit] zeker gebruikt door malware", meldt het Zero Day Initiative.

Aanvallers kunnen misbruik maken (alle nog ondersteunde versie van Windows en alle ondersteunde versies van Windows Server) van de manier waarop win32k geheugenobjecten parkeert, waardoor een eenmaal binnengekomen aanvaller de exploit kan inzetten om code uit te voeren in kernelmodus. Met die toegang heeft de aanvaller vrij spel om programma's te installeren, gegevens aan te passen en meer.

Kortom, een ideale exploit voor malware die diep ingrijpt op het systeem - wat dus ook is gebeurd, zo blijkt uit de advisory. Het gaat hoogstwaarschijnlijk om een aanval die maar op zeer beperkte schaal wordt uitgevoerd, anders was hij ongetwijfeld meer partijen opgevallen en/of was er een noodpatch verschenen. Maar nu er een patch beschikbaar is, is het zaak dat beheerders die op korte termijn uitrollen, omdat deze aanlokkelijke exploit op eveneens korte termijn breder gebruikt zal worden door (andere) criminelen.

8 jaar oud gat

Ook wordt er een nieuwe ontdekking van een klassieker gepatcht, namelijk CVE-2010-3190, zoals je aan de nummering al kunt zien een zo'n acht jaar oud probleem. Dat komt omdat het gaat om een kwetsbaarheid die eigenlijk gaat over een hele klasse van aanvallen, namelijk DLL-preloading-aanvallen, zoals Microsoft in deze advisory in 2010 uitgebreid uitlegde.

Deze patch lost een dergelijk DLL-issue op in ontwikkelaarsomgeving Visual Studio op. Windows-applicaties die worden gebouwd met bibliotheek MFC zorgen er nu voor dat DLL-bestanden correct worden behandeld.

Dit is waarschijnlijk niet de laatste keer dat we CVE-2010-3190 gaan zien, er zijn onder deze CVE al zo'n dertig patches verschenen, onder meer voor Visual Studio en daarmee diverse Windows-applicaties, alles van iTunes voor Windows 7 tot aan recente versies van Exchange.