Microsoft lost 55 kwetsbaarheden op Patch Tuesday op, waaronder twee die actief zijn misbruikt

Microsoft loste 55 kwetsbaarheden in Windows- en Office-programma's op tijdens Patch Tuesday. Zes van de kwetsbaarheden waren nul dagen. 15 gevallen betroffen kwetsbaarheden waarbij code op een machine kon worden uitgevoerd.

De release voor Windows 10 en 11 bevat bugfixes voor 55 kwetsbaarheden. Naast Windows zijn ook Office, Azure en Edge gerepareerd. Over zes kwetsbaarheden was al informatie bekend. Twee van die kwetsbaarheden zijn daadwerkelijk in het wild aangevallen, zegt Microsoft. Dat zijn CVE-2021-42292 en CVE-2021-42321 . Dit is een omzeiling van de beveiligingspreview in Excel en het uitvoeren van externe code in Exchange. Voor de Exchange RCE heeft een aanvaller ook eerst authenticatie nodig. Het krijgt daarom een CVSS-score van 8,8. Met name werden details over die kwetsbaarheid ook ontdekt tijdens de Chinese Tianfu-hackwedstrijd in oktober . Die details waren toen nog niet openbaar gemaakt.

Andere opmerkelijke bugs zijn onder meer CVE-2021-42298 , een bug voor het uitvoeren van externe code in Microsoft Defender waardoor een aanvaller code kon uitvoeren door simpelweg een bestand naar een systeem te sturen. Twee kwetsbaarheden in het Remote Desktop Protocol werden eerder opgemerkt door beveiligingsonderzoekers, CVE-2021-38631 en CVE-2021-41371 . Deze zijn geclassificeerd als 'Belangrijk', omdat ze het mogelijk maakten om RDP-wachtwoorden uit een systeem te lezen. RDP is een populair doelwit voor ransomwarecriminelen.

In totaal zijn 15 van de Patch Tuesday-fixes voor het uitvoeren van externe code. In 20 gevallen werden lokale privilege-escalaties verholpen en in nog eens 10 gevallen een informatielek. Spoofing-kwetsbaarheden en denial-of-service-kwetsbaarheden werden ook verholpen. Het aantal van 55 gerepareerde lekken is relatief laag voor een Patch Tuesday.