Heb je de laatste batch updates van Microsoft's mei 2021 Patch Tuesday? Als je dat niet hebt gedaan, je moet het zo snel mogelijk doen, omdat het fixes bevat voor vier kritieke beveiligingsfouten.
Mei 2021 Patch Tuesday
Overall, deze Patch Tuesday is nogal “bescheiden”,”Met fixes voor slechts 55 gebreken. In feite, dit is de kleinste batch patches van Microsoft sinds vorig jaar. Maar een van de kwetsbaarheden is nogal zorgwekkend, omdat het een ontwormbare kans creëert voor bedreigingsactoren. Er zijn geen aanwijzingen dat een van de kwetsbaarheden die deze maand zijn aangepakt, in het wild wordt uitgebuit.
Dus, wat zijn de vier kritieke kwetsbaarheden die Microsoft deze maand heeft opgelost?
- CVE-2021-31166: Een ontwormbare fout in de HTTP-protocolstack in Windows 10 en sommige versies van Windows Server die kunnen leiden tot uitvoering van externe code (RCE) aanvallen;
- CVE-2021-26419: Een fout in het geheugenbeschadiging van de scripting-engine die zich in Internet Explorer bevindt 11 en 9 waardoor RCE;
- CVE-2021-31194: Een RCE-bug in de Microsoft Windows Object Linking and Embedding (NO) Automatisering;
- CVE-2021-28476: Een RCE-kwetsbaarheid ontdekt in Microsoft Windows Hyper-V.
CVE-2021-31166
De gevaarlijkste van deze kwetsbaarheden is CVE-2021-31166, de kritieke wormbare kwestie. Volgens Automox-beveiligingsonderzoekers, bij uitbuiting, door deze fout kunnen niet-geverifieerde aanvallers kwaadaardige pakketten naar een gerichte server sturen met behulp van de HTTP-protocolstack (http.sys) om de pakketten te verwerken en willekeurige code uit te voeren. Dit zou dan kunnen leiden tot het overnemen van de controle over het beoogde systeem. Microsoft voegde ook toe dat de kwetsbaarheid wormachtig is, en dat het kan worden ingezet om zichzelf over het interne netwerk te repliceren, het compromitteren van interne diensten binnen de organisatie.
De groeiende dreiging van ontwormbare uitbuitingen
In een gesprek met Threatpost, Kevin Breen van Immersive Labs zei dat de kwetsbaarheid van CVE-2021-31166 van primair belang is voor ransomware-operators.
Een van de ransomwarefamilies bijgewerkt met een ontwormbare mogelijkheid is Ryuk. Door deze mogelijkheid kan de ransomware zich verspreiden over gecompromitteerde netwerken, waardoor het nog gevaarlijker wordt. De nieuwe kwaadaardige mogelijkheid in de ransomware werd in maart ontdekt door ANSSI. “Een Ryuk-monster met wormachtige mogelijkheden waardoor het zich automatisch verspreidt binnen netwerken die het infecteert,werd ontdekt tijdens een incidentrespons die begin 2021 door de ANSSI werd afgehandeld ”, delen de onderzoekers.
Nog een voorbeeld van een recente wormachtige malware beïnvloedt Android-apparaten. De malware kan automatisch reageren op de inkomende WhatsApp-berichten van een slachtoffer met een payload die is ontvangen van de command-and-control-server. De ontdekking komt van beveiligingsbedrijf Check Point. Volgens het rapport van de onderzoekers, deze mogelijkheid had dreigingsactoren in staat kunnen stellen phishing-aanvallen te verspreiden, valse informatie verspreiden, of het stelen van gevoelige inloggegevens en gegevens van de WhatsApp-accounts van de slachtoffers.
“Ontwormbare exploits moeten altijd een hoge prioriteit hebben, vooral als het gaat om diensten die zijn ontworpen om openbaar te zijn. Omdat deze specifieke exploit geen enkele vorm van authenticatie vereist, het is zelfs nog aantrekkelijker voor aanvallers, en elke organisatie die de HTTP.sys-protocolstack gebruikt, moet prioriteit geven aan deze patch,”Voegde Kevin Breen eraan toe.