Microsoft patcht twaalf kritieke bugs in Patch Tuesday-update
Microsoft loste in de updateronde van januari, de eerste van 2023, 98 bugs op. Het treft naast bugs in Windows ook problemen die opdoken in Office, SharePoint, Visio en Visual Studio Code. Updates voor Windows 10 en Windows 11 worden uitgerold als respectievelijk KB5022286 en KB5022303 en bevatten ook een handvol bugoplossingen voor Windows Server en Exchange Server (2016 en 2019). Van alle bugs die door Microsoft werden opgelost weet Microsoft dat er twee actief zijn misbruikt.
Zeroday-beveiligingslekken
Een van die bugs kreeg identificatienummer CVE-2023-21674 mee en betreft een beveiligingslek dat misbruikt kan worden om adminrechten te verkrijgen. Die bug zorgt ervoor dat je via een omweg de autorisatie in Windows Advanced Local Procedure Call (ALPC) kan omzeilen. Het lek kreeg een CVSS-score van 8,8 (op 10) en is daarmee kritiek te noemen. Wel kan men deze bug niet zomaar uitbuiten: hiervoor moet namelijk eerst al toegang worden verkregen tot het systeem.
Het tweede lek dat actief wordt misbruikt betreft CVE-2023-21549. Net als het eerdergenoemde lek in Windows kan de aanvaller hiermee de autorisatie omzeilen en adminrechten verkrijgen. Wat dan nog het verschil is, is dat het lek zich in het SMB (Server Message Block)-protocol bevindt. Deze bug, zo schrijft Microsoft in zijn blogpost, werd ontdekt door beveiligingsonderzoekers van Akamai en bij het bedrijf aan het licht gebracht. Voor beide zeroday-beveiligingslekken is onbekend hoe ze ‘actief’ misbruikt worden.
12 kritieke beveiligingslekken
Naast de twee zeroday-beveiligingslekken pakt Microsoft ook 12 kritieke beveiligingslekken aan. Die lekken waren onder meer te vinden in SharePoint waardoor de beveiliging van de digitale applicatie omzeild kon worden. Ook werd een bug opgelost waarmee op afstand code uitgevoerd zou kunnen worden via het Secure Socket Tunneling Protocol van Windows.
Het is de eerste keer in jaren dat Microsoft zoveel beveiligingsproblemen in januari oplost. We zien met name privilege-bugs (39), bugs die je de beveiliging laat omzeilen (4) en bugs waarmee je code op afstand kan uitvoeren (33). Microsoft rolt de update alvast uit naar alle systemen en zegt dat je als eindgebruiker niets hoeft te doen. Wil je toch zo snel mogelijk de update binnen hengelen? Dat kan door naar Windows Updates te navigeren en op Controleren voor updates te klikken.