Kwetsbaarheden verholpen in Microsoft Windows

Microsoft heeft meerdere kwetsbaarheden verholpen in Windows. De kwetsbaarheden stellen een kwaadwillende mogelijk in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade:

• Denial-of-Service (DoS)
• Omzeilen van authenticatie
• (Remote) code execution (Administrator/SYSTEM rechten)
• (Remote) code execution (Gebruikersrechten)
• Spoofing
• Toegang tot gevoelige gegevens
• Toegang tot systeemgegevens
• Verhoogde gebruikersrechten

Vanwege de reeds actief-misbruikte kwetsbaarheid CVE-2022-26925 raadt Microsoft aan om bij het toepassen van deze updates Active Directory Domain Controllers prioriteit te geven. Om deze kwetsbaarheid te misbruiken dient de aanvaller reeds een Man-In-The-Middle (MITM) positie hebben verworven. De aanvaller zou door misbruik van deze kwetsbaarheid authenticatie kunnen omzeilen door een kwetsbaar systeem te manipuleren.

Microsoft heeft aanvullende informatie alsmede mitigerende maatregelen gepubliceerd. Zie [Link]

De kwetsbaarheid met CVE-kenmerk CVE-2022-26937 (CVSSv3 9.8) bevindt zich in het Windows Network File System en kan alleen misbruikt worden wanneer het systeem is geconfigureerd met de NFS role. Microsoft geeft aan dat deze kwetsbaarheid niet te misbruiken is wanneer men gebruik maakt van NFSv4.1. Wanneer men gebruik maakt van NFSv2 of NFSv3 zijn er maatregelen beschikbaar gesteld om deze versies uit te schakelen.

Wanneer Active Directory Certificate Services actief is, is deze mogelijk kwetsbaar voor CVE-2022-26923 (CVSSv3 8.8). Een kwaadwillende kan deze kwetsbaarheid mogelijk misbruiken om een willekeurig certificaat te laten uitgeven. Middels dit certificaat kan de kwaadwillende binnen het domein verhoogde rechten verwerven.

De kwetsbaarheden met CVE-kenmerken CVE-2022-22012 en CVE-2022-29130 (beiden (CVSSv3 9.8) bevinden zich in de Windows LDAP implementatie. Waneer de MaxReceiveBuffer-waarde in een policy is verhoogd kan een kwaadwillende de kwetsbaarheden mogelijk misbruiken voor het uitvoeren van code met SYSTEM-rechten. De default policy is niet kwetsbaar. Aanvullende informatie over de LDAP policies is beschikaar op [Link]

Om de kwetsbaarheid met CVE-kenmerk CVE-2022-26927 (CVSSv3 8.8) te misbruiken, dient een kwaadwillende de gebruiker te verleiden een malafide document te openen of webpagina te bezoeken. Op dat moment kan misbruik van de kwetsbaarheid leiden tot het uitvoeren van willekeurige code onder de rechten van de gebruiker.

Indien een VPN-server is opgezet middels Windows Remote Access Services (RAS), is dit systeem mogelijk kwetsbaar voor CVE-2022-21972 en CVE-2022-23270 (beiden CVSSv3 8.1). Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheid misbruiken voor het uitvoeren van willekeurige code. Omdat dit een VPN-server betreft zal deze doorgaans via het publieke internet te benaderen zijn. De Remote Access-role is niet standaard ingeschakeld.

In onderstaande tabellen is een overzicht te vinden van de kwetsbaarheden die door Microsoft zijn verholpen met de bijbehorende CVSSv3-score.

Microsoft Windows ALPC:

Windows Failover Cluster Automation Server:

Windows WLAN Auto Config Service:

Windows Remote Desktop:

Windows Network File System:

Windows Active Directory:

Windows Cluster Shared Volume (CSV):

Tablet Windows User Interface:

Windows Remote Access Connection Manager:

Remote Desktop Client:

Windows Address Book:

Windows Print Spooler Components:

Windows Remote Procedure Call Runtime:

Microsoft Graphics Component:

Windows Kerberos:

Windows Point-to-Point Tunneling Protocol:

Windows Authentication Methods:

Microsoft Local Security Authority Server (lsasrv):

Windows NTFS:

Role: Windows Hyper-V:

Windows Kernel:

Windows Server Service:

Windows Media:

Windows Push Notifications:

Role: Windows Fax Service:

Windows BitLocker:

Windows LDAP - Lightweight Directory Access Protocol:

Windows Storage Spaces Controller: