Microsoft dicht 118 kwetsbaarheden op Patch Tuesday

De actief misbruikte zeroday - CVE-2022-34713 - zit in de Microsoft Support Diagnostic Tool (MSDT), schrijft Dark Reading. In diezelfde tool blijkt nog een remote code execution-fout te zitten, maar die wordt niet actief misbruikt door cybercriminelen. Patchen van deze bug is natuurlijk wel van belang; het is waarschijnlijk een kwestie van (weinig) tijd voordat kwaadwillenden zich op deze - en andere - gaten storten.

Via link in document

Onderzoeksengineer Satnam Narang van beveiligingsbedrijf Tenable zegt tegenover Dark Reading dat beide kwetsbaarheden een variant zijn van een probleem dat onderzoekers 'DogWalk' noemen. Daar wordt al anderhalf jaar over gesproken, maar er wordt pas sinds kort misbruik van gemaakt. De kwetsbaarheden geven aanvallers de mogelijkheid om het MSDT-protocol te gebruiken via een URL in een document, zoals bijvoorbeeld een Word-bestand. Als op die URL wordt geklikt, wordt er code uitgevoerd in de beveiligingscontext van de applicatie.

Dit stelt aanvallers ertoe in staat om met privileges eigen code uit te voeren, waarna programma's geïnstalleerd kunnen worden, nieuwe accounts aangemaakt kunnen worden en data bekeken, gewijzigd of verwijderd kunnen worden.

Workaround mogelijk

Het advies van Microsoft is om de patch hiertegen zo snel mogelijk te installeren. Daarmee worden ook 17 andere kritieke en 101 belangrijke kwetsbaarheden gedicht.

Beveiligingsteams die de patch niet kunnen installeren, maar de actief misbruikte zeroday wel willen aanpakken, kunnen ook het MSDT URL-protocol uitschakelen. Daarmee wordt misbruik van de onderliggende kwetsbaarheid de pas afgesneden. Andere opties zijn om de Microsoft Defender-detecties te updaten of om te vertrouwen op Protected View en Application Guard for Office.