Microsoft heeft noodpatches uitgerold om twee kritieke kwetsbaarheden te verhelpen: een zero-day in Internet Explorer en een bug in de ingebouwde antivirus Windows Defender.
De updates volgen niet het normale ritme waarbij Microsoft patches bewaart voor de tweede dinsdag van de maand, beter bekend als Patch Tuesday. Dat gebeurt zelden en wijst er doorgaans op dat Microsoft de ernst van het risico hoog inschat.
Gebruikers doen er dan ook goed aan om de noodpatches zo snel mogelijk uit te voeren. De update voor Internet Explorer kan manueel worden geïnstalleerd, terwijl Defender automatisch op de achtergrond wordt geüpdatet.
Zero-day
De zero-day voor Internet Explorer (CVE-2019-1367) heeft de grootste impact omdat die momenteel al in het wild wordt misbruikt, zo meldt ZDNet. De aanvallen werden ontdekt en aan Microsoft gerapporteerd door een onderzoeker van Googles Threat Analysis Group.
Het gaat om een zogenaamde RCE-kwetsbaarheid (Remote Code Execution) waarbij een aanvaller vanop afstand code kan uitvoeren op het getroffen systeem, met dezelfde rechten als de op dat moment ingelogde gebruiker. Alles wat hij daarvoor moet bewerkstelligen, is om het slachtoffer naar een aangepaste website te lokken.
“Als de huidige gebruiker is aangemeld met beheerdersrechten, kan een aanvaller die het beveiligingslek met succes misbruikt de controle over een getroffen systeem overnemen”, waarschuwt Microsoft. Een aanvaller kan vervolgens programma’s installeren; gegevens bekijken, wijzigen of verwijderen; of nieuwe accounts maken met volledige gebruikersrechten.”
Met een marktaandeel van 8,29 procent op de desktop volgens NetMarketShare, is de potentiële slachtoffergroep eerder klein, maar nog steeds significant. Wie de update om welke reden dan ook niet meteen kan installeren, kan Internet Explorer beter tijdelijk vermijden.
Windows Defender
De bug in Windows Defender (CVE-2019-1255) is in vergelijking een minder groot probleem. Een aanvaller heeft eerst al toegang tot het systeem van een slachtoffer nodig, met de mogelijkheid om code uit te voeren. Als hij daarin slaagt, is hij volgens Microsoft wel in staat om “te voorkomen dat legitieme accounts legitieme system binaries uitvoeren.”
Zo zou kunnen worden voorkomen dat bepaalde componenten van Windows Defender worden uitgevoerd, maar als de aanvaller al zo ver in je systeem is binnen gedrongen, zijn er genoeg andere en efficiëntere manieren om schade aan te richten.
Microsoft heeft een update (v1.1.16400.2) uitgerold voor de Malware Protection Engine van Windows Defender die het probleem verhelpt.
Gerelateerd: Windows Defender faalt malwarescan na enkele seconden