Microsoft dicht drie zerodays in Patch Tuesday-update

Eén van de drie zerodays is een elevation of privilege vulnerability in .NET en Visual Studio, schrijft Bleeping Computer. Een tweede is een security feature bypass vulnerability in Microsoft Exchange Server, en de derde zeroday is een remote code execution vulnerability in common utilities. Geen van de drie zerodays wordt echter als kritiek aangemerkt of is in het wild misbruikt.

Kritieke kwetsbaarheden

Er zijn echter ook vier kwetsbaarheden aangepakt die wel als kritiek worden bestempeld door Microsoft. Het gaat om CVE-2021-31166, CVE-2021-26419, CVE-2021-28476 en CVE-2021-31194. Nummer 31166 is een remote code execution-fout in de HTTP Protocol Stack, die door een hacker valt te misbruiken om een speciaal gemaakt, malafide pakket naar een server te sturen. Het datapakket wordt daar dan uitgevoerd. Hoewel deze fout nog niet misbruikt is, acht Microsoft het wel waarschijnlijk dat dit gaat gebeuren.

De tweede kwetsbaarheid, CVE-2021-26419, is een memory corruption-fout in de scripting engine. Een hacker kan deze fout misbruiken door een malafide website te maken die in Internet Explorer bekeken wordt, of door een ActiveX control die als veilig gemarkeerd is toe te voegen aan een applicatie of een Office-document dat de IE rendering engine bevat. Ook kan een hacker een gecompromitteerde website inzetten om de fout te misbruiken. Microsoft acht de kans op misbruik dan ook waarschijnlijk.

Via gast-VM

CVE-2021-28476 en CVE-2021-31194 zijn beide remote code execution-fouten. De eerste van de twee kwetsbaarheden zit in Microsofts virtualisatiesoftware Hyper-V. Met deze fout kan een gast-VM (virtual machine) de kernel van het onderliggende host-besturingssysteem dwingen om een eigen, niet-valide adres te lezen. In de meeste gevallen leidt dat tot een denial of service (DoS) bij de Hyper-V host. De tweede kwetsbaarheid zit in OLE Automation en laat hackers dus ook eigen code uitvoeren. 

Een volledig overzicht van de bugfixes in Patch Tuesday is hier te vinden.