Microsoft Patch Tuesday: 71 updates in december waarvan 1 zeer kritische zero-day! Happy New Year.

December is een feestmaand met Sinterklaas en Kerst en volop geschenken. De maandelijkse patches van Microsoft zijn niet zozeer cadeautjes, maar ze worden wel gratis aangeboden – dus toch een soort van cadeautjes – en je hebt ze serieus nodig dus snel uitpakken en aan de slag. Deze Patch Tuesday kwam Microsoft met 71 patches. Het betreft merendeels Remote Code Execution (RCE) en Elevation of Privilege (EoP) vulnerabilities, respectievelijk 30 en 27 stuks. Verder gaat het om 7 Information Disclosure vulnerabilities en enkele DoS en Spoofing vulnerabilities. Onderstaand de belangrijkste patches van december, waarbij Wim Milder begint met de meest urgente ‘zero day’ omdat deze actief misbruikt is.

De belangrijkste patches van december 2024

CVE-2024-49138 heeft betrekking op een geconstateerde Windows Common Log File System Driver EoP kwetsbaarheid. Het is verreweg de meest belangrijke van deze maand en Microsoft adviseert dan ook dringend om deze direct aan te pakken. Het is namelijk een ‘actively exploited zero-day vulnerability’ die aanvallers de kans biedt/bood om SYSTEM privileges te verkrijgen op Windows devices. De geconstateerde tekortkoming in de CLFS-driver stelde aanvallers in staat via een heap-based bufferoverflow SYSTEM-rechten te verkrijgen waarbij voor een succesvolle exploit geen gebruikersinteractie vereist is en slechts lage privileges nodig zijn om uitgevoerd te worden. Vandaar de hoge CVSS-score van 7,8 (op een schaal van 10) en vandaar de urgentie. Daarnaast heeft Microsoft nog twee andere CLFS-driver EoP-kwetsbaarheden gepatcht: CVE-2024-49090 en CVE-2024-49088 (beide met dezelfde hoge CVSS-score).

CVE-2024-49118 en CVE-2024-49122 bieden een oplossing voor een geconstateerd probleem (niet voor het eerst) met de Microsoft Message Queuing RCE. Bestempeld als kritisch met een CVSS-score van maar liefst 8,1 maar desondanks net iets minder urgent omdat deze naar alle waarschijnlijkheid nog niet is misbruikt. Succesvolle exploitatie door een aanvaller vereist dat deze een raceconditie wint en dat blijkt lastig. CVE-2024-49106, CVE-2024-49108, CVE-2024-49115, CVE-2024-49116, CVE-2024-49119, CVE-2024-49120, CVE-2024-49123, CVE-2024-49128 en CVE-2024-49132 betreffen allemaal RCE (Remote Code Execution) tekortkomingen die effect hebben op de goede en veilige werking van Windows Remote Desktop Services. Kritisch en met een CVSS-score van 8,1 zeker zaak om deze aan te pakken. Microsoft geeft echter aan dat succesvol misbruik (create a use-after-free scenario dat zou kunnen leiden tot arbitrary code execution) zeer complex is. Daarom zijn ze slechts als ‘Exploitation Less Likely’ bestempeld. Toch maar aanpakken, is het advies van de experts van Axoft.

De updates installeren maakt dat je weer up-to-date en dus optimaal beschermd bent Op eerste verzoek sturen we je de complete lijst met alle patches. Wij raden je aan om ook de decemberpatches in een testomgeving te testen en daarna zo snel mogelijk te installeren. Dan ben je klaar voor het nieuwe jaar. Steek je vuurwerk af? Tref dan ook de juiste veiligheidsvoorzieningen én pas op voor knallende champagnekurken. Voor vragen over de patches van december kun je contact opnemen met Wim Milder, voor tips over de leukste nieuwsjaarrecepties ook. Het team van Axoft wenst je een voorspoedig en veilig 2025.