Kwetsbaarheden verholpen in Microsoft Windows

Deze pagina gebruikt slimmigheden om officiële advisory platte tekst naar HTML om te zetten. Daarbij kan die informatie worden verminkt. De "Signed-PGP" versies waarnaar verwezen wordt zijn normatief (maar deze zijn minder leesbaar).
Publicatie Kans Schade    
  Versie 1.01 28-08-2023 NCSC-2023-0339  
 
medium
high
Signed-PGP →  
28-08-2023
medium
high
NCSC-2023-0339 [1.01] Signed-PGP →
Kenmerken

Kenmerken

  • Denial-of-Service (DoS)
  • Omzeilen van beveiligingsmaatregel
  • (Remote) code execution (Administrator/Root rechten)
  • (Remote) code execution (Gebruikersrechten)
  • Spoofing
  • Toegang tot gevoelige gegevens
  • Verhoogde gebruikersrechten
Omschrijving

Omschrijving

Microsoft heeft kwetsbaarheden verholpen in Windows. Een kwaadwillende kan de kwetsbaarheden misbruiken om aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:

  • Denial-of-Service (DoS)
  • Omzeilen van beveiligingsmaatregel
  • (Remote) code execution (Administrator/Root rechten)
  • (Remote) code execution (Gebruikersrechten)
  • Spoofing
  • Toegang tot gevoelige gegevens
  • Verhoogde gebruikersrechten

De ernstigste kwetsbaarheden bevinden zich in de Windows Routing and Remote Access Service (RRAS) en stellen een ongeauthenticeerde kwaadwillende op afstand in staat om willekeurige code uit te voeren met de rechten van de service. Deze service wordt niet standaard geïnstalleerd en draait onder normale omstandigheden met beperkte rechten.

Van de kwetsbaarheden met kenmerk CVE-2023-32046 en CVE-2023-36874 heeft Microsoft informatie dat deze in beperkte mate worden misbruikt.

De kwetsbaarheid met kenmerk CVE-2023-32046 bevindt zich in het MSHTML platform, een legacy platform wat voor backwards compatibility nog wordt ondersteund. Misbruik van de kwetsbaarheid vereist vooralsnog dat de kwaadwillende het slachtoffer misleidt een malafide pagina of bestand te openen middels een verouderde en niet meer actief ondersteunde browser als Internet Explorer of Edge Legacy. Het is te verwachten dat binnenkort exploitcode beschikbaar komt die de kwetsbaarheid succesvol kan misbruiken zonder gebruik te maken van verouderde browsers.

De kwetsbaarheid met kenmerk CVE-2023-36874 bevindt zich in de Error Reporting Services en stelt een lokale, geauthenticeerde kwaadwillende in staat om zich verhoogde rechten toe te kennen. Misbruik vereist echter lokale toegang en de mogelijkheid om mappen aan te maken en performance traces te starten. Succesvol misbruik is niet eenvoudig.

Naast de verholpen kwetsbaarheden heeft Microsoft ook twee adviezen gepubliceerd, ADV230001 en ADV230002. Deze adviezen hebben betrekking op respectievelijk misbruik van malafide third-party drivers en de mogelijkheid voor een lokale administrator om de UEFI secure boot procedure te omzeilen.

Windows Failover Cluster:

CVE-IDCVSSImpact
CVE-2023-320836,50Toegang tot gevoelige gegevens

Windows CryptoAPI:

CVE-IDCVSSImpact
CVE-2023-353397,50Denial-of-Service

Windows Layer 2 Tunneling Protocol:

CVE-IDCVSSImpact
CVE-2023-320376,50Toegang tot gevoelige gegevens

Windows Cluster Server:

CVE-IDCVSSImpact
CVE-2023-320336,60Uitvoeren van willekeurige code

Windows Layer-2 Bridge Network Driver:

CVE-IDCVSSImpact
CVE-2023-353158,80Uitvoeren van willekeurige code

Windows Active Directory Certificate Services:

CVE-IDCVSSImpact
CVE-2023-353507,20Uitvoeren van willekeurige code
CVE-2023-353516,60Uitvoeren van willekeurige code

Windows Remote Desktop:

CVE-IDCVSSImpact
CVE-2023-320436,80Omzeilen van beveiligingsmaatregel
CVE-2023-353326,80Omzeilen van beveiligingsmaatregel
CVE-2023-353527,50Omzeilen van beveiligingsmaatregel

Windows Network Load Balancing:

CVE-IDCVSSImpact
CVE-2023-331637,50Uitvoeren van willekeurige code

Windows Connected User Experiences and Telemetry:

CVE-IDCVSSImpact
CVE-2023-353207,80Verkrijgen van verhoogde rechten
CVE-2023-353537,80Verkrijgen van verhoogde rechten

Windows MSHTML Platform:

CVE-IDCVSSImpact
CVE-2023-320467,80Verkrijgen van verhoogde rechten
CVE-2023-353366,50Omzeilen van beveiligingsmaatregel
CVE-2023-353086,50Omzeilen van beveiligingsmaatregel

Windows PGM:

CVE-IDCVSSImpact
CVE-2023-352977,50Uitvoeren van willekeurige code

Windows Kernel:

CVE-IDCVSSImpact
CVE-2023-353567,80Verkrijgen van verhoogde rechten
CVE-2023-353577,80Verkrijgen van verhoogde rechten
CVE-2023-353587,80Verkrijgen van verhoogde rechten
CVE-2023-353637,80Verkrijgen van verhoogde rechten
CVE-2023-353047,80Verkrijgen van verhoogde rechten
CVE-2023-353057,80Verkrijgen van verhoogde rechten

Windows Geolocation Service:

CVE-IDCVSSImpact
CVE-2023-353437,80Uitvoeren van willekeurige code

Windows Error Reporting:

CVE-IDCVSSImpact
CVE-2023-368747,80Verkrijgen van verhoogde rechten

Windows Remote Procedure Call:

CVE-IDCVSSImpact
CVE-2023-331666,50Denial-of-Service
CVE-2023-331676,50Denial-of-Service
CVE-2023-331686,50Denial-of-Service
CVE-2023-331696,50Denial-of-Service
CVE-2023-331726,50Denial-of-Service
CVE-2023-331736,50Denial-of-Service
CVE-2023-320346,50Denial-of-Service
CVE-2023-320356,50Denial-of-Service
CVE-2023-353145,30Denial-of-Service
CVE-2023-353166,50Toegang tot gevoelige gegevens
CVE-2023-353186,50Denial-of-Service
CVE-2023-353196,50Denial-of-Service
CVE-2023-331646,50Denial-of-Service
CVE-2023-353008,80Uitvoeren van willekeurige code

Windows Print Spooler Components:

CVE-IDCVSSImpact
CVE-2023-353257,50Toegang tot gevoelige gegevens

Microsoft Windows Codecs Library:

CVE-IDCVSSImpact
CVE-2023-320517,80Uitvoeren van willekeurige code
CVE-2023-368725,50Toegang tot gevoelige gegevens
CVE-2023-353038,80Uitvoeren van willekeurige code

Windows Active Template Library:

CVE-IDCVSSImpact
CVE-2023-320556,70Verkrijgen van verhoogde rechten

Windows Installer:

CVE-IDCVSSImpact
CVE-2023-320537,80Verkrijgen van verhoogde rechten

Microsoft Graphics Component:

CVE-IDCVSSImpact
CVE-2023-217567,80Verkrijgen van verhoogde rechten

Windows OLE:

CVE-IDCVSSImpact
CVE-2023-320426,50Toegang tot gevoelige gegevens

Windows SmartScreen:

CVE-IDCVSSImpact
CVE-2023-320498,80Omzeilen van beveiligingsmaatregel

Windows Peer Name Resolution Protocol:

CVE-IDCVSSImpact
CVE-2023-353387,50Denial-of-Service

Windows Local Security Authority (LSA):

CVE-IDCVSSImpact
CVE-2023-353316,50Denial-of-Service

Windows App Store:

CVE-IDCVSSImpact
CVE-2023-353477,10Verkrijgen van verhoogde rechten

Windows Certificates:

CVE-IDCVSSImpact
ADV230001onb.<Vertaal: Defense in Depth>

Windows ODBC Driver:

CVE-IDCVSSImpact
CVE-2023-320388,80Uitvoeren van willekeurige code

Windows Online Certificate Status Protocol (OCSP) SnapIn:

CVE-IDCVSSImpact
CVE-2023-353136,70Uitvoeren van willekeurige code
CVE-2023-353237,80Uitvoeren van willekeurige code

Windows Authentication Methods:

CVE-IDCVSSImpact
CVE-2023-353296,50Denial-of-Service

Windows Cryptographic Services:

CVE-IDCVSSImpact
CVE-2023-331745,50Toegang tot gevoelige gegevens

Windows EFI Partition:

CVE-IDCVSSImpact
ADV230002onb.Omzeilen van beveiligingsmaatregel

Windows Routing and Remote Access Service (RRAS):

CVE-IDCVSSImpact
CVE-2023-353659,80Uitvoeren van willekeurige code
CVE-2023-353669,80Uitvoeren van willekeurige code
CVE-2023-353679,80Uitvoeren van willekeurige code

Windows NT OS Kernel:

CVE-IDCVSSImpact
CVE-2023-353607,00Verkrijgen van verhoogde rechten
CVE-2023-353617,00Verkrijgen van verhoogde rechten
CVE-2023-353648,80Verkrijgen van verhoogde rechten

Windows Common Log File System Driver:

CVE-IDCVSSImpact
CVE-2023-352997,80Verkrijgen van verhoogde rechten

Windows Clip Service:

CVE-IDCVSSImpact
CVE-2023-353627,80Verkrijgen van verhoogde rechten

Windows CNG Key Isolation Service:

CVE-IDCVSSImpact
CVE-2023-353407,80Verkrijgen van verhoogde rechten

Windows Server Update Service:

CVE-IDCVSSImpact
CVE-2023-353177,80Verkrijgen van verhoogde rechten
CVE-2023-320567,80Verkrijgen van verhoogde rechten

Windows Partition Management Driver:

CVE-IDCVSSImpact
CVE-2023-331547,80Verkrijgen van verhoogde rechten

Windows Win32K:

CVE-IDCVSSImpact
CVE-2023-353377,80Verkrijgen van verhoogde rechten

Windows Media:

CVE-IDCVSSImpact
CVE-2023-353416,20Toegang tot gevoelige gegevens

Windows Netlogon:

CVE-IDCVSSImpact
CVE-2023-215267,40Toegang tot gevoelige gegevens

Windows Image Acquisition:

CVE-IDCVSSImpact
CVE-2023-353427,80Verkrijgen van verhoogde rechten

Windows Update Orchestrator Service:

CVE-IDCVSSImpact
CVE-2023-320415,50Toegang tot gevoelige gegevens

Windows SPNEGO Extended Negotiation:

CVE-IDCVSSImpact
CVE-2023-353307,50Denial-of-Service

Windows Transaction Manager:

CVE-IDCVSSImpact
CVE-2023-353287,80Verkrijgen van verhoogde rechten

Windows VOLSNAP.SYS:

CVE-IDCVSSImpact
CVE-2023-353127,80Verkrijgen van verhoogde rechten

Microsoft Printer Drivers:

CVE-IDCVSSImpact
CVE-2023-320395,50Toegang tot gevoelige gegevens
CVE-2023-320405,50Toegang tot gevoelige gegevens
CVE-2023-353245,50Toegang tot gevoelige gegevens
CVE-2023-320855,50Toegang tot gevoelige gegevens
CVE-2023-352966,50Toegang tot gevoelige gegevens
CVE-2023-353028,80Uitvoeren van willekeurige code
CVE-2023-353065,50Toegang tot gevoelige gegevens

Windows Cloud Files Mini Filter Driver:

CVE-IDCVSSImpact
CVE-2023-331557,80Verkrijgen van verhoogde rechten

Windows Admin Center:

CVE-IDCVSSImpact
CVE-2023-293478,70Voordoen als andere gebruiker

Windows Volume Shadow Copy:

CVE-IDCVSSImpact
CVE-2023-320547,30Verkrijgen van verhoogde rechten

Windows HTTP.sys:

CVE-IDCVSSImpact
CVE-2023-320847,50Denial-of-Service
CVE-2023-352987,50Denial-of-Service

Windows Message Queuing:

CVE-IDCVSSImpact
CVE-2023-320447,50Denial-of-Service
CVE-2023-320457,50Denial-of-Service
CVE-2023-320579,80Uitvoeren van willekeurige code
CVE-2023-353097,50Uitvoeren van willekeurige code

Windows Deployment Services:

CVE-IDCVSSImpact
CVE-2023-353216,50Denial-of-Service
CVE-2023-353228,80Uitvoeren van willekeurige code

Azure Active Directory:

CVE-IDCVSSImpact
CVE-2023-353487,50Omzeilen van beveiligingsmaatregel
CVE-2023-368716,50Omzeilen van beveiligingsmaatregel

Role: DNS Server:

CVE-IDCVSSImpact
CVE-2023-353446,60Uitvoeren van willekeurige code
CVE-2023-353456,60Uitvoeren van willekeurige code
CVE-2023-353466,60Uitvoeren van willekeurige code
CVE-2023-353106,60Uitvoeren van willekeurige code

Windows CDP User Components:

CVE-IDCVSSImpact
CVE-2023-353265,50Toegang tot gevoelige gegevens
Bereik

Bereik

Platforms Producten Versies

Microsoft Windows

Oplossingen

Oplossingen

Microsoft heeft updates beschikbaar gesteld waarmee de beschreven kwetsbaarheden worden verholpen. We raden u aan om deze updates te installeren. Meer informatie over de kwetsbaarheden, de installatie van de updates en eventuele work-arounds [Link]

CVE’s

CVE’s

CVE-2023-21526, CVE-2023-21756, CVE-2023-29347, CVE-2023-32033, CVE-2023-32034, CVE-2023-32035, CVE-2023-32037, CVE-2023-32038, CVE-2023-32039, CVE-2023-32040, CVE-2023-32041, CVE-2023-32042, CVE-2023-32043, CVE-2023-32044, CVE-2023-32045, CVE-2023-32046, CVE-2023-32049, CVE-2023-32051, CVE-2023-32053, CVE-2023-32054, CVE-2023-32055, CVE-2023-32056, CVE-2023-32057, CVE-2023-32083, CVE-2023-32084, CVE-2023-32085, CVE-2023-33154, CVE-2023-33155, CVE-2023-33163, CVE-2023-33164, CVE-2023-33166, CVE-2023-33167, CVE-2023-33168, CVE-2023-33169, CVE-2023-33172, CVE-2023-33173, CVE-2023-33174, CVE-2023-35296, CVE-2023-35297, CVE-2023-35298, CVE-2023-35299, CVE-2023-35300, CVE-2023-35302, CVE-2023-35303, CVE-2023-35304, CVE-2023-35305, CVE-2023-35306, CVE-2023-35308, CVE-2023-35309, CVE-2023-35310, CVE-2023-35312, CVE-2023-35313, CVE-2023-35314, CVE-2023-35315, CVE-2023-35316, CVE-2023-35317, CVE-2023-35318, CVE-2023-35319, CVE-2023-35320, CVE-2023-35321, CVE-2023-35322, CVE-2023-35323, CVE-2023-35324, CVE-2023-35325, CVE-2023-35326, CVE-2023-35328, CVE-2023-35329, CVE-2023-35330, CVE-2023-35331, CVE-2023-35332, CVE-2023-35336, CVE-2023-35337, CVE-2023-35338, CVE-2023-35339, CVE-2023-35340, CVE-2023-35341, CVE-2023-35342, CVE-2023-35343, CVE-2023-35344, CVE-2023-35345, CVE-2023-35346, CVE-2023-35347, CVE-2023-35348, CVE-2023-35350, CVE-2023-35351, CVE-2023-35352, CVE-2023-35353, CVE-2023-35356, CVE-2023-35357, CVE-2023-35358, CVE-2023-35360, CVE-2023-35361, CVE-2023-35362, CVE-2023-35363, CVE-2023-35364, CVE-2023-35365, CVE-2023-35366, CVE-2023-35367, CVE-2023-36871, CVE-2023-36872, CVE-2023-36874

Kans

Kans

Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen hoe groot de kans is dat deze kwetsbaarheid in het doorsnee praktijkgeval kan worden misbruikt. De punten worden bij elkaar geteld.

De grootste dreiging gaat uit van kwetsbaarheden die vanaf het netwerk zijn te misbruiken. Deze bevinden zich in standaard niet actieve componenten. De actief misbruikte kwetsbaarheden vereisen lokale toegang of gebruik van verouderde en standaard niet meer aanwezige software. Voor beide vectoren is de kans MEDIUM. In deze matrix samenvoegen tot een samengesteld risico levert onterecht HIGH op. De matrix is daarom ingesteld op de dreiging vanaf externe koppelvlakken. Organisaties dienen een eigen risico-afweging te maken.

medium
∑ = 28
Is de kwetsbaarheid aanwezig in de standaard configuratie/ installatie? Nee 1
Is er exploit-code beschikbaar? Proof of Concept (PoC) 4
Wordt de kwetsbaarheid in de praktijk gebruikt? Nee (nog niet) 1
Zijn er technische details beschikbaar? Beperkt 2
Welke toegang is er nodig? Internet 6
Vereiste credentials Geen 4
Hoe moeilijk is het om de kwetsbaarheid uit te buiten? Complex 1
Is er gebruikers interactie nodig? Geen handelingen 4
Wordt misbruik of een exploit verwacht? Ja binnenkort 3
Is er een oplossing beschikbaar? Korter dan twee maanden 2
Schade

Schade

Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen voor de schade die bij een succesvolle aanval kan ontstaan. De hoogste inschaling bepaalt de totale kans op schade.

high
Denial of Service Ja, Client
medium
Uitvoeren van willekeurige code Ja, Root/Administrator-rechten
high
Rechten op afstand (remote [root-] shell) Nee
low
Verwerven lokale admin/root-rechten (privilege escalation) Ja
medium
Lekken van (gevoelige) informatie Ja, Gebruikersdata
high
  Versie 1.01 28-08-2023 NCSC-2023-0339  
 
medium
high
Signed-PGP →  
28-08-2023
medium
high
NCSC-2023-0339 [1.01] Signed-PGP →
Update

Update

Voor de kwetsbaarheid met kenmerk CVE-2023-36874 is publieke Proof-of-Concept-code verschenen waarmee de kwetsbaarheid kan worden aangetoond. Misbruik vereist lokale toegang en authenticatie. De inschaling van dit beveiligingsadvies wijzigt verder niet.

  Versie 1.00 11-07-2023 NCSC-2023-0339  
 
medium
high
Signed-PGP →  
11-07-2023
medium
high
NCSC-2023-0339 [1.00] Signed-PGP →

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.