Microsoft heeft tijdens de maandelijkse Patch Tuesday-updateronde 61 kwetsbaarheden gerepareerd. Daar vallen 3 zerodays onder. Twee daarvan werden actief misbruikt. Verschillende securitybedrijven hebben dat ontdekt, dus is de omvang mogelijk groot.
In de maandelijkse patchronde heeft Microsoft in totaal 61 bugs gerepareerd. Het bedrijf heeft KB5037771 voor Windows 11 2261.3593 en 22631.3593, en KB5037768 voor Windows 10 19044.4412 en 19045.4412 uitgebracht. In de patchronde zitten 3 kwetsbaarheden waarvan al informatie openbaar is.
Een van de zerodays zit in de DWM Core Library. Daar zit een head-based bufferoverflow in waarmee een aanvaller hogere rechten kan bemachtigen op een systeem. De bug wordt getrackt als CVE-2024-30051. De kwetsbaarheid is aangedragen door verschillende onderzoekers, waaronder van Kaspersky, Googles eigen Thread Analysis Group en Google Mandiant. Daarmee is het denkbaar dat de bug op grote schaal wordt misbruikt, al geeft Microsoft zoals altijd geen details over de aard of de schaal van de uitbuiting.
Een tweede misbruikte kwetsbaarheid wordt getrackt als CVE-2024-30040. Het gaat daarbij om een authenticatieomzeiling in Microsoft 365 en Office. Een aanvaller kan met een phishingdocument de Object Linking and Embedding-feature omzeilen en op die manier code uitvoeren met die gebruikersrechten.
Onder de patches valt verder nog een derde zeroday: CVE-2024-30046. Dat is een denial-of-servicebug in Visual Studio. Die kwetsbaarheid wordt niet actief misbruikt, maar Microsoft schrijft wel dat eerder al details bekend zijn gemaakt over de bug. Dat maakt het voor aanvallers makkelijk om hem actief te misbruiken.
Een andere opvallende bug is CVE-2024-30044. Dat is een kritieke kwetsbaarheid in SharePoint Server waarmee een aanvaller op afstand code kan uitvoeren. Daarvoor is weliswaar beheerderspermissie nodig, maar Microsoft classificeert de kwetsbaarheid als Kritiek en geeft haar een CVSS-score van 8.8. Het bedrijf zegt dat het 'waarschijnlijk' is dat de kwetsbaarheid wordt uitgebuit als ze niet wordt gepatcht.