Microsoft dicht twee actief misbruikte kwetsbaarheden

De twee fouten die al actief misbruikt worden, zijn CVE-2023-29336 en CVE-2023-24932, weet The Register. De eerste is een elevation of privilegekwetsbaarheid in Win32k, wat betekent dat cybercriminelen privileges kunnen krijgen die zij niet behoren te hebben. De tweede kwetsbaarheid zorgt ervoor dat Secure Boot omzeild kan worden. Secure Boot is een onderdeel van Windows dat voorkomt dat er niet-geautoriseerde software gedraaid kan worden. Door Secure Boot te omzeilen, kunnen aanvallers dus alsnog malware plaatsen.

Patch handmatig installeren

CVE-2023-24932 wordt nu actief misbruikt door de BlackLotus-bootkit, specifiek om vervolgens een oudere kwetsbaarheid te misbruiken. Dat is CVE-2022-21894, die al in januari 2022 gedicht werd, maar ondanks de patch nog altijd misbruikt wordt. De nieuwe kwetsbaarheid laat een aanvaller 'self-signed code' - dus code die door de maker zelf, al dan niet ten onrechte, als betrouwbaar wordt aangemerkt - uitvoeren, ook als Secure Boot aan staat. Cybercriminelen gebruiken dit voornamelijk om te zorgen dat malware niet verwijderd wordt en niet gedetecteerd wordt door beveiligingssystemen, aldus Microsoft in een guidance-artikel over de fout. Aanvallers hebben echter wel fysieke toegang tot het apparaat of lokale admin-privileges nodig om de fout te misbruiken. 

In het guidance-artikel benadrukt Microsoft dat er wel een patch is uitgebracht voor het probleem, maar dat deze standaard is uitgeschakeld en dus geen bescherming biedt. Gebruikers moeten dus zelf handmatig een aantal stappen volgen om de update aan te zetten. De stappen worden beschreven in het guidance-artikel.

In juli volgt een tweede update, waarmee het gemakkelijker wordt om de patch aan te zetten en uit te rollen. In het eerste kwartaal van 2024 volgt een laatste patch voor de fout, waarmee het probleem standaard op alle Windows-apparaten opgelost wordt.