De eerste Patch Tuesday-fixes die Microsoft in 2023 heeft verzonden, hebben 98 beveiligingsproblemen opgelost, waaronder een fout waarvan de onderneming zegt dat deze actief wordt geëxploiteerd in het wild.
Van de 98 problemen zijn er 11 van kritiek en 87 van belangrijkheid, met één van de kwetsbaarheden ook genoemd als openbaar bekend op het moment van de release. Afzonderlijk zal Microsoft updates verwachten vrij te geven voor zijn op Chromium gebaseerde Edge-browser.
De kwetsbaarheid die wordt aangevallen, is verband houdend met CVE-2023-21674 (CVSS score: 8.8), een privilege escalation fout in Windows Advanced Local Procedure Call (ALPC) die kan worden geëxploiteerd door een aanvaller om SYSTEM-machtigingen te verkrijgen.
“Deze kwetsbaarheid kan leiden tot een browser sandbox escape,” waarschuwde Microsoft in een mededeling, met dank aan onderzoekers van Avast, Jan Vojtěšek, Milánek en Przemek Gmerek voor het melden van de fout.
Hoewel de details van de kwetsbaarheid nog steeds onder wraps zijn, vereist een succesvolle exploit dat een aanvaller al een initiële infectie op de host heeft verkregen. Het is ook waarschijnlijk dat de fout wordt gecombineerd met een fout in de webbrowser om uit de sandbox te breken en verhoogde machtigingen te verkrijgen.
“Eenmaal de initiële voetafdruk is gemaakt, zullen aanvallers proberen zich over een netwerk te verplaatsen of extra hogere niveaus van toegang te krijgen en deze soorten privilege escalation kwetsbaarheden zijn een belangrijk onderdeel van het playbook van de aanvaller,” zegt Kev Breen, directeur van cyber dreiging onderzoek bij Immersive Labs.
Dat gezegd hebbende, zijn de kansen dat een exploitketen zoals deze op grote schaal wordt gebruikt beperkt vanwege de auto-updatefunctie die wordt gebruikt om browsers te patchen, zegt Satnam Narang, senior onderzoeksengineer bij Tenable.
Het is ook de moeite waard om op te merken dat de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) de kwetsbaarheid heeft toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) catalogus en federale agents oproept om patches toe te passen voor 31 januari 2023.
Bovendien is CVE-2023-21674 de vierde dergelijke fout die is geïdentificeerd in ALPC – een inter-procescommunicatiefaciliteit (IPC) die wordt geleverd door de kernel van Microsoft Windows – na CVE-2022-41045, CVE-2022-41093 en CVE-2022-41100 (CVSS scores: 7.8), waarvan de laatste drie in november 2022 zijn gerepareerd.
Twee andere privilege escalation kwetsbaarheden die als hoog prioriteit zijn geïdentificeerd, betreffen Microsoft Exchange Server (CVE-2023-21763 en CVE-2023-21764, CVSS scores: 7.8), die ontstaan uit een incompleet patche voor CVE-2022-41123, volgens Qualys.
“Een aanvaller kan code uitvoeren met SYSTEM-niveau machtigingen door een hard-coded bestandspad te exploiteren,” zei Saeed Abbasi, manager van kwetsbaarheid en dreiging onderzoek bij Qualys, in een verklaring.
Ook opgelost door Microsoft is een beveiligingsfunctie omzeilen in SharePoint Server (CVE-2023-21743, CVSS score: 5.3) die een ongeauthenticeerde aanvaller in staat zou kunnen stellen om authenticatie te omzeilen en een anonieme verbinding te maken. De technologiegigant merkte op dat “klanten ook een SharePoint-upgradeactie moeten uitvoeren die in deze update is opgenomen om hun SharePoint-boerderij te beschermen.”
De januari-update verhelpt verder een aantal privilege escalation-problemen, waaronder een in Windows Credential Manager (CVE-2023-21726, CVSS score: 7.8) en drie die betrekking hebben op het Print Spooler-component (CVE-2023-21678, CVE-2023-21760 en CVE-2023-21765).
De Amerikaanse National Security Agency (NSA) wordt gezien als degene die CVE-2023-21678 heeft gemeld. In totaal maakten 39 van de kwetsbaarheden die Microsoft in zijn laatste update heeft opgelost het mogelijk om machtigingen te verhogen.
Om de lijst af te ronden is er CVE-2023-21549 (CVSS score: 8.8), een publiekelijk bekende machtigingsverhogingskwetsbaarheid in de Windows SMB Witness Service en nog een voorbeeld van een beveiligingsfunctie-omzeiling die van invloed is op BitLocker (CVE-2023-21563, CVSS score: 6.8).
“Een succesvolle aanvaller zou de BitLocker Device Encryption-functie op het systeemopslagapparaat kunnen omzeilen,” zei Microsoft. “Een aanvaller met fysieke toegang tot de doelgroep zou deze kwetsbaarheid kunnen exploiteren om toegang te krijgen tot gecodeerde gegevens.”
Tot slot heeft Redmond zijn richtlijnen voor het misbruik van ondertekende stuurprogramma’s (genaamd Bring Your Own Vulnerable Driver) bijgewerkt om een geactualiseerde blokkadelijst op te nemen die is vrijgegeven als onderdeel van Windows-beveiligingsupdates op 10 januari 2023.
CISA voegde op dinsdag ook CVE-2022-41080 toe, een Exchange Server-machtigingsverhogingskwetsbaarheid, aan de KEV-catalogus na berichten dat de kwetsbaarheid wordt gekoppeld aan CVE-2022-41082 om op kwetsbare systemen remote code uitvoering te bereiken.
Software patches van andere partijen:
Naast Microsoft hebben ook andere leveranciers sinds begin deze maand beveiligingsupdates uitgebracht om verschillende kwetsbaarheden op te lossen, waaronder
