Microsoft repareert tijdens Patch Tuesday 60 kwetsbaarheden, waarvan 2 ernstige

Microsoft heeft tijdens Patch Tuesday zestig kwetsbaarheden verholpen in Windows, Office, Edge en andere producten. In twee gevallen ging het om bugs met een kritieke classificatie. Geen van de bugs wordt actief misbruikt, wat de laatste tijd wel vaak voorkwam.

Microsoft heeft KB5035853 voor Windows 11-versies 22621.3296 en 22631.3296 en KB5035845 voor Windows 10-versies 19044.4170 en 19045.4170 uitgebracht. Verder heeft het bedrijf patches uitgebracht voor verschillende van zijn softwarepakketten. In de update zit ook een bugfix voor een eerder probleem dat ontstond in de Patch Tuesday-ronde van februari. Daarbij kon het bij sommige gebruikers voorkomen dat een nieuwe Windows-installatie niet voltooide.

In de updatecyclus zitten twee updates die Microsoft een kritieke score geeft. Die zitten beide in Hyper-V. In een geval, bij CVE-2024-21334, gaat het om een use-after-freekwetsbaarheid die het mogelijk maakt om een aanval op afstand en zonder authenticatiecode uit te voeren. De bug krijgt daarvoor een CVSS-score van 9.8. Naast de patch kan die kwetsbaarheid ook worden gemitigeerd door OMI-poorten uit te schakelen, zodat aanvallers nergens binnen kunnen komen.

De tweede bug die als kritiek wordt aangemerkt, is CVE-2024-21435. Daarmee is het mogelijk om na het installeren van een geïnfecteerde DLL ook op afstand code uit te voeren in een Hyper-V-VM. Die bug krijgt een CVSS-score van 8.8.

Van de zestig bugs die Microsoft in totaal heeft verholpen, gaat het in 18 gevallen om een mogelijkheid tot een remote code execution. In 24 gevallen is het mogelijk rechten te verhogen, en bij 6 bugs is het mogelijk om gegevens te stelen van een systeem. Microsoft zegt dat geen van de bugs in de praktijk werd misbruikt.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 13-03-2024 11:2829

13-03-2024 • 11:28

29 Linkedin Whatsapp

Lees meer

Microsoft brengt eerste preview uit van Office 2024 LTSC
Microsoft brengt eerste preview uit van Office 2024 LTSC Nieuws van 19 april 2024
Microsoft lijkt app-aanbiedingen in Windows 11-startmenu te willen tonen
Microsoft lijkt app-aanbiedingen in Windows 11-startmenu te willen tonen Nieuws van 10 april 2024
Windows-driver blokkeert thirdpartysoftware die standaardbrowser wil instellen
Windows-driver blokkeert thirdpartysoftware die standaardbrowser wil instellen Nieuws van 8 april 2024
Deelmenu Windows 11 krijgt optie om url en bestanden via qr-code te delen
Deelmenu Windows 11 krijgt optie om url en bestanden via qr-code te delen Nieuws van 30 maart 2024
Fortinet waarschuwt voor kritieke kwetsbaarheden in FortiOS en FortiProxy
Fortinet waarschuwt voor kritieke kwetsbaarheden in FortiOS en FortiProxy Nieuws van 14 maart 2024
Microsoft gaat Windows 11-upgrade promoten op niet-beheerde zakelijke pc's
Microsoft gaat Windows 11-upgrade promoten op niet-beheerde zakelijke pc's Nieuws van 29 februari 2024
Microsoft repareert twee zerodays en 73 bugs tijdens Patch Tuesday
Microsoft repareert twee zerodays en 73 bugs tijdens Patch Tuesday Nieuws van 14 februari 2024
Patch Tuesday-ronde repareert 49 bugs waaronder ernstig lek in Kerberos
Patch Tuesday-ronde repareert 49 bugs waaronder ernstig lek in Kerberos Nieuws van 10 januari 2024
Microsoft repareert tijdens Patch Tuesday 103 bugs en waarschuwt voor ddos-bug
Microsoft repareert tijdens Patch Tuesday 103 bugs en waarschuwt voor ddos-bug Nieuws van 11 oktober 2023
Microsoft waarschuwt voor blue screen of death na recente Windows-previewupdate
Microsoft waarschuwt voor blue screen of death na recente Windows-previewupdate Nieuws van 25 augustus 2023
Microsoft brengt patch voor Exchange Server opnieuw uit na eerdere errors
Microsoft brengt patch voor Exchange Server opnieuw uit na eerdere errors Nieuws van 17 augustus 2023
Meer producten en artikelen
Beveiliging en antivirus Microsoft Patch Tuesday

Reacties (29)

-Moderatie-faq
29
28
12
1
0
10
Wijzig sortering
dgh
13 maart 2024 12:33
En ik zit mog steeds met een update die een fout geeft ( kb5034441 ) 🤷
Get!em
@dgh13 maart 2024 13:32
Kun je met het script van Microsoft op je WRE partitie verhelpen. Zowel prive als zakelijk al gedaan en werkt vlekkeloos. Wel even herstarten nadat je het powershell script hebt gedraaid, pas daarna update toepassen.

Eventuele updates staan hier: https://learn.microsoft.c...ndows-10-21H2#3231msgdesc

Script en instructies staan hier.
https://answers.microsoft...d4-42c3-b4be-266b43454306

Update instructies:
https://support.microsoft...a3-42d8-8a55-7fc406910c10

[Reactie gewijzigd door Get!em op 13 maart 2024 13:47]

Sp3ci3s8472
@Get!em13 maart 2024 13:38
Dacht dat Windows juist het platform was dat makkelijk was voor eind gebruikers ipv Linux.
Schijnbaar moet je dus nog steeds een terminal kunnen starten en gebruiken.

Persoonlijk zie ik dit de gemiddelde WIndows gebruiker met dit probleem niet doen.
Get!em
@Sp3ci3s847213 maart 2024 13:46
Klopt, ik vermoed dan ook dat er een fix komt via windows update later, want dit is niet houdbaar voor de meeste mensen.

Microsoft is het script ook nog aan het bijstellen:
https://www.neowin.net/ne...weaked-powershell-script/
Cyberpuppy
@Get!em13 maart 2024 17:42
Tuurlijk. Totdat je die shit dus bij honderden pc's moet gaan uitrollen met een mix van verschillende edities enz.

Belachelijk dat er na 2 maanden nog steeds geen fix is hiervoor.
wvd_vegt
@dgh13 maart 2024 13:01
Wordt handmatig de recovery partitie aanpassen, lees vergroten (of wachten tot de patch wordt aangepast).

Zie https://support.microsoft...a5-4fee-a02a-2fdea17075a8 en https://support.microsoft...43-461c-ada9-24c8229763bf
RobIII
@dgh13 maart 2024 13:54
Dit scriptje runnen en klaar. 5 minuten werk (en dan doe je er lang over).

[Reactie gewijzigd door RobIII op 13 maart 2024 13:54]

Terrestrial
@dgh13 maart 2024 12:43
Ik denk niet dat je de enige bent, daar zit de halve Windows wereld mee. Maar schijnbaar interesseert het M$ niks want ze hebben het nog steeds niet gerepareerd en daardoor blijft bitlocker op die systemen te omzeilen.

Je kunt het wel zelf fixen maar dan moet je partities resizen, ik ga dat niet doen, ze fixen het zelf maar.
Probook8979
@dgh13 maart 2024 14:01
Bedankt voor de fix.
Franckey
@dgh13 maart 2024 21:47
Ik krijg dat hier ook op een paar Windows 10 installaties. Vreemd dat dit nog steeds niet opgelost is.
Op answers.microsoft.com staan ook een paar threads hierover.
Iced Maggot
13 maart 2024 12:01
Hoe weten die eigenlijk wanneer dat in de praktijk wordt misbruikt, zo'n niet gekende zero day?
Monitorren die alles op een of andere manier?
wiseger
@Iced Maggot13 maart 2024 12:19
Dat weten ze niet zeker. Zodra in het veld misbruik van de betreffende zero day wordt aangetroffen, door bijvoorbeeld onderzoekers, dan wordt dat gerapporteerd. Zolang MS nog geen rapportage ontvangen heeft, stelt men dat het lek niet actief misbruikt wordt.
HADES2001
@wiseger13 maart 2024 12:49
Dat is helaas niet altijd waar. Recentelijk was er nog een artikel over dat Microsoft pas aktie ondernam nadat er een artikel op internet werd gepost maar ze allang zouden weten dat er misbruik van de exploit werd gemaakt
https://www.theregister.c...11/infosec_news_in_brief/

Foppe-jan heeft gelijk, we moeten hun blauwe ogen maar geloven maar doe dat niet blind

[Reactie gewijzigd door HADES2001 op 13 maart 2024 13:02]

Insomnia1988
@Iced Maggot13 maart 2024 12:33
Ik weet niet of ik het goed uitleg. Maar ik weet dat er ook honeypots zijn, wellicht dat ze er zo achter komen.

Bijvoorbeeld: Hang een windows xp pc op internet en kijk wat er gebeurd. Alles op zo een systeem word gelogd dus als er iemand dan binnen komt dan weten ze dat het prijs is.
svennd
@Insomnia198813 maart 2024 14:30
Yeah, maar zero day's worden niet in het "wilde weg" ingezet. Zero days zijn big $ waard in de grijze circkels. Dus gebruik ervan is vrijwel nooit "at random".
foppe-jan
@Iced Maggot13 maart 2024 12:06
we moeten ze op hun blauwe ogen geloven.
bzuidgeest
@Iced Maggot13 maart 2024 12:18
Ze monitoren mallware, je weet wel voor virusscanners e.d. Ze zien welke malware de exploit gebruikt.
dasiro
@Iced Maggot13 maart 2024 18:36
Windows Defender
sprankel
@Iced Maggot13 maart 2024 19:08
Als 1 enkele partij bij slechts enkele slachtoffers een zero day aan het misbruiken is, dan is de kans vrij groot dat MS dat niet door gaat hebben.

Maar van het moment een zero day actief in het wild misbruikt word kan dat niet anders dan beginnen opvallen. Slachtoffers gaan mogelijks niet weten hoe men is binnen geraakt maar dat is er ingebroken valt doorgaans wel op, zeker in grotere omgevingen waarbij je ook meer en meer geavanceerde security hebt die zoekt naar afwijkend gedrag. Leuk hoor, werknemer ligt te prutsen aan zijn printinstellingen, bam, client van het netwerk gegooid, automatisch ticket aangemaakt, die client doet afwijkende opdrachten naar de printer op het 1ste verdiep.

En dan ga ik er nog vanuit dat die zero day niet is gebruikt om pakweg een cryptolocker binnen te krijgen want dan gaan de grote alarmbellen uiteraard af.

Vervolgens worden er security experts en firma's ingeschakeld vanwaar een fabrikant als MS vrij snel te horen krijgt als het gebeurd is op een manier dat ze nog niet zijn tegengekomen. Of de malware zelf word gevonden en doorgestuurd voor analyse.

Malware heeft doorgaans ook de eigenschap om te prutsen aan instellingen en systeem bestanden corrupt te maken. Bepaalde errors en reports, mits toegestaan door de user, worden voor diagnostische analyse doorgestuurd, zou niet de eerste keer zijn dat ze bij MS diag rapportjes binnen krijgen waar de oorzaak een nieuwe zero day is.

En indien de zero day reeds gekend is bij MS kunnen ze uiteraard hun eigen Defender alvast een update geven zodat die wat meer aandachtig kijkt naar pakweg bepaalde regkeys die aangepast worden om de zero day te laten uitvoeren.

Vergeet hier ook niet dat AV producten al heel lang niet meer gewoon zoeken achter datgene wat ze al kennen. Zo hebben ze allemaal al lang reputation based op basis van certificaten en hash te vergelijken en afhankelijk van de reputatie restricties op te leggen. Daarbij word ook al lang gekeken naar risico van de handelingen die gebeuren.

Als ik een programma schrijf, ik geef het geen certificaat mee of ik maak een certificaat uit van een gloednieuwe uitgever, ik laat die wat systeem mappen scannen, wat registersleutels aanpassen en een TCP connectie openzetten met mijn server terwijl er geen GUI zichtbaar is => hoewel de AV mijn programma nog nooit gezien heeft en hoewel mijn programma geen malware is, je AV gaat reageren, mogelijks zelf vlakuit dit programma blokkeren waarbij al dan niet gegevens doorgestuurd worden naar de cloud voor verdere analyses. Als mijn programma stiekem toch een zero day aan het misbruiken was gaat die analyse hun alvast in de juiste richting sturen.
kodak
13 maart 2024 12:02
Naast de patch kan die kwetsbaarheid ook worden gemitigeerd door OMI-poorten uit te schakelen, zodat aanvallers nergens binnen kunnen komen.
Als je management poorten moet uitschakelen omdat je vreest dat criminelen er misbruik van kunnen proberen te maken dan heb je om te beginnen waarschijnlijk al te weinig afscherming van die poorten. Die hoor je namelijk niet aan te bieden aan personen waar je geen vertrouwen in hebt. De security bugs tonen aan waarom. Het is al snel een te groot probleem als er een enorm risico in de software zit.
wiseger
@kodak13 maart 2024 12:22
Dat is iets te kort door de bocht. Bij veel inbraken worden er diverse issues misbruikt om tot een geslaagde inbraak te komen. Dus de kwetsbare server kan prima afgeschermd zijn van het Internet maar als de criminelen al eerder een andere server wisten te hacken dan kunnen ze die afscherming omzeilen en misbruik maken van de kwetsbaarheid.
naaitsab
@wiseger13 maart 2024 13:42
Dit inderdaad. Dat noemen ze vaak ook wel lateraal door het netwerk bewegen. Dus als ze eenmaal binnen zijn dan gaan ze op zoek naar kwetsbaarheden binnen het netwerk en/of starten acties voor het sniffen van tokens/credentials.

Er wordt vaak veel te veel vertrouwd op enkel de 1e defensielijn, de firewall/router. Als het daarna een lui lekkerland is qua beveiliging dan is er nog veel meer schade dan men verwacht. Daarom zijn basics als segmentatie, RBAC en afbakening (geen any-any constructies) net zo belangrijk als een goeie 'internet facing' beveiliging.
kodak
@wiseger13 maart 2024 13:56
Mijn opmerking gaat meer om het probleem dat het uitschakelen niet lijkt te gaan om een goede afscherming hebben. Microsoft stelt simpel dat als je de poorten niet gebruikt maar uit kan zetten. Hun uitgangspunt lijkt niet het hebben van een goede afscherming te zijn maar om kunnen gebruiken. Terwijl ik niet de indruk heb dat hun klanten daarmee vooral bezig zijn met slechts aanbieden aan wie of wat te vertrouwen is.

Overigen lijkt afscherming van internet me onvoldoende. Het niet zomaar kunnen vertrouwen op software of andere systemen en personen gaat hoe dan ook al te snel op als gebrekkige afscherming. Als men de poorten dan gaat afsluiten om accuut risico door andere oorzaken te beperken toont dat dus extra aan dat de afscherming onvoldoende was.
OruBLMsFrl
13 maart 2024 14:47
Waarom staat in dit artikel
In de updatecyclus zitten twee updates die Microsoft een kritieke score geeft. Die zitten beide in Hyper-V.
Als ik doorklik, zie ik deze omschrijving en producten staan:
CVE-2024-21435
Windows OLE Remote Code Execution Vulnerability
An unauthenticated attacker could exploit the vulnerability by placing a specially crafted file onto an online directory or in a local network location then convincing the user to open it. In a successful attack, this will then load a malicious DLL which could lead to a remote code execution.
Windows 11 Version 23H2, 22H2 -> geen Server versies, terwijl Hyper-V toch vaker qua kwetsbaarheden risico factor op server dan client is

CVE-2024-21334
Open Management Infrastructure (OMI) Remote Code Execution Vulnerability New
A remote unauthenticated attacker could access the OMI instance from the Internet and send specially crafted requests to trigger a use-after-free vulnerability. Is there any action customers need to take to protect themselves against this vulnerability? Customers running affected versions of SCOM (System Center Operations Manager) should update to OMI version 1.8.1-0.
System Center Operations Manager (SCOM) 2019, 2022
Open Management Infrastructure

Is het dan mogelijk OMI standaard in Hyper-V of iets, want Hyper-V kan ook zonder SCOM gebruikt natuurlijk.
mistral2
13 maart 2024 17:56
En ik zit ook met een upfate probleem. Sinds december mislukken alle updates..Zelffs de microsoft store werkt niet meer. Alles wat met microsoft te maken heef twil niet werken.
Zelfs 2 uur met microsoft in een chat gezeten om het op te lossen maar niet gelukt. De remote access tool die i windows zit wekrt zelfs niet.

Maar verder geen problemen hoor. Kan nog stedes internetten, WSL draaien, office tools gebruiken.

Enige risico is dat ik dus gehacked ga worden binnenkort....
svideo
@mistral213 maart 2024 20:15
Irritant ja. Had het laatst ook. En omdat de store niet werkte , werkte een software pakket ook niet. Die licentie zit via de store.

Ik heb de uitgever van de software flink uitgekafferd.
En tja windows blijft het oud en vertrouwde kaarten huis.
Ik heb een format c en re install gedaan. Dat werkte wel.
Al die klote scripts die gebaseerd zijn op aannames die niet kloppen. Zucht en nog eens zucht.
Roel1966
13 maart 2024 22:00
Ah, toch dan maar dadelijk even de pc opnieuw laten opstarten want ik zag dat er een update gereed staat.
Tweaker1958
14 maart 2024 10:54
Vreemd. Gisteren Desktop afgesloten, en kreeg gelijk deze update.
Vanochtend aangezet, en moet op mijn Google browser opnieuw alle (opgeslagen) logins en ww invoeren voor diverse sites.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee