Microsoft heeft tijdens zijn recentste patch tuesday twee lekken gedicht die door aanvallers worden gebruikt. Het gaat in beide gevallen om lekken die het op afstand uitvoeren van code mogelijk maken. In totaal dichtte het bedrijf 94 lekken.
Bij de lekken gaat het om CVE-2017-8543 en CVE-2017-8464, waarvan de desbetreffende pagina vermeldt dat ze momenteel door aanvallers worden ingezet. De eerste kwetsbaarheid is aanwezig in Windows Search en heeft te maken met de manier waarop de dienst met geheugenobjecten omgaat. Volgens Microsoft kan een aanvaller in een zakelijke omgeving het lek op afstand gebruiken door een speciaal SMB-bericht naar de Search-dienst te sturen en daarmee controle over een systeem te verkrijgen.
De tweede kwetsbaarheid heeft te maken met het verwerken van lnk-snelkoppelingsbestanden. Door een kwaadaardig lnk-bestand samen met een kwaadaardige binary te gebruiken, kan een aanvaller dezelfde rechten als de getroffen gebruiker verkrijgen en de zelfgekozen code in de binary uitvoeren. Beide lekken zijn aanwezig in verschillende versies van Windows, waaronder Windows 10, Windows 8.1 en Windows Server 2016.
Dinsdag maakte Microsoft al bekend dat sommige patches op XP- en Vista-systemen waren gericht. In een verklaring aan ZDNet zei het bedrijf dat deze ertoe dienden om overgebleven lekken te dichten die gebruikt werden in drie NSA-tools, die in april werden vrijgegeven door de Shadowbrokers. Het gaat om de tools Englishmandentist, Esteemaudit en Explodingcan. Eerder zei Microsoft dat het geen patches voor deze kwetsbaarheden zou uitbrengen.

(bron: tweakers.net)