Microsoft's September Patch Tuesday lost 63 kwetsbaarheden op met één die zero-day actief wordt uitgebuit

In de beveiligingspatchbundel die dinsdag is uitgebracht door Microsoft, werden er oplossingen voor 63 kwetsbaarheden en blootstellingen verstrekt. Vijf van de kwetsbaarheden worden als 'kritiek' beschouwd, 57 ervan zijn 'belangrijk' en één wordt beoordeeld als 'matig'. 

De fouten bestaan ​​in het bijzonder uit één beveiligingslek met bypass, zeven kwetsbaarheden voor het vrijgeven van informatie, zeven denial of service-kwetsbaarheden, 18 kwetsbaarheden voor misbruik van bevoegdheden en 30 kwetsbaarheden voor uitvoering van externe code. Als de kwetsbaarheden die vóór deze Patch Tuesday in Microsoft Edge zijn gepatcht, worden toegevoegd, stijgt het totale aantal CVE's naar 79.

Twee van die kwetsbaarheden waren openbaar gemaakte zero-day-kwetsbaarheden, waarvan één (bijgehouden als "CVE-2022-37969 – Windows Common Log File System Driver Elevation of Privilege Vulnerability”) beschreven als “uitgebuit”.

"Een aanvaller die dit beveiligingslek weet te misbruiken, kan SYSTEEM-rechten krijgen", zei Microsoft in een advies. Desalniettemin beschouwt de technologiegigant de ernst van de kwetsbaarheid als "Laag", aangezien de "techniek het niet mogelijk maakt om op afstand code uit te voeren in gevallen waarin de aanvaller die mogelijkheid nog niet op het doelsysteem heeft." Andere beveiligingsexperts zijn echter niet tevreden met de verklaring van Microsoft en uiten hun zorgen.

"De kwetsbaarheid [CVE-2022-37969] wordt beoordeeld als belangrijk, maar met meerdere leveranciers die erkend zijn voor de gecoördineerde onthulling en bevestigde exploits in het wild, moet deze kwetsbaarheid worden behandeld als een kritieke ernst vanwege het risico", Chris Goettl, Vice President van Product Management voor beveiligingsproducten bij Ivanti, vertelde tijdschrift Redmond.

Mike Walters, cybersecurity executive en mede-oprichter van Action1 Corporation, software voor monitoring en beheer op afstand, zei ook dat de "lage complexiteit" van CVE-2022-37969 een probleem kan zijn.

"Er zijn geen andere technische details [over CVE-2022-37969] beschikbaar, maar aangezien de kwetsbaarheid een lage complexiteit heeft en geen gebruikersinteractie vereist, zal een exploit waarschijnlijk binnenkort in het arsenaal van zowel witte hoeden als zwarte hoeden zitten", vertelde Walters aan Redmond. Mag.

Ondertussen wordt Microsoft Dynamics 365 getroffen door twee (CVE-2022-34700 en CVE-2022-35805) van de vijf kritieke kwetsbaarheden die uitvoering van externe code mogelijk maken. Twee daarvan (CVE-2022-34721 en CVE-2022-34722) zijn gekoppeld aan Windows Internet Key Exchange Protocol Extensions, terwijl de laatste (CVE-2022-34718) iets te maken heeft met Windows en TCP/IP.

De laatste van de vijf kritieke kwetsbaarheden, CVE-2022-34718, wordt door beveiligingsonderzoekers van Cisco Talos omdat het een CVSS-score van 9.8 uit 10 heeft. Microsoft beschreef het ook als "uitbuiting waarschijnlijker". Niettemin, Dustin Childs van het leveranciersonafhankelijke bug bounty-programma Trend Micro's Zero Day Initiative zei dat systemen met IPv6 ingeschakeld en IPSec geconfigureerd de enige zijn die getroffen zijn. “Voor sommigen is het goed nieuws, maar als je IPv6 gebruikt (zoals velen doen), gebruik je waarschijnlijk ook IPSec. Test en implementeer deze update zeker snel,” voegde Childs eraan toe.

Aan de andere kant, terwijl de twee kritieke kwetsbaarheden, CVE-2022-34721 en CVE-2022-34722, alle Windows Server-producten beïnvloeden en 9.8 CVSS-scores hebben, zei Walters dat ze "beiden een lage complexiteit hebben voor exploitatie."