In de laatste Patch Tuesday had Microsoft 87 kwetsbaarheden aan te pakken. Twee kwetsbaarheden werden uitgebuit door hackers en er waren zes ‘kritieke’ kwetsbaarheden waarmee hackers code op afstand konden laten draaien. Onderzoekers meldden ook een fout in Visual Studio Code waardoor wachtwoorden lekken, maar Microsoft vond het niet nodig dit probleem aan te pakken.
Microsoft bracht in de laatste update voor Windows een oplossing voor twee zerodays. Eén van de kwetsbaarheden was al openbaar bekend.
Schadelijk Office-document
De kwetsbaarheid CVE-2023-36884 maakte Microsoft bekend in juli. Gebruikers kregen toen alleen advies om uitbuiting te beperken, maar voor de patch moest men wachten tot Patch Tuesday. Niet tegenstaande dat de kwetsbaarheid hackers de mogelijkheid gaf om een toestel code te laten draaien.
Uitbuiting was mogelijk via een geïnfecteerd Office-document. Daarna was het nog kwestie van een potentieel slachtoffer te overtuigen om dit document te openen.
Zeroday in Visual Studio aangepakt
De andere actief uitgebuite kwetsbaarheid (CVE-2023-38180) zette een DoS-aanval in gang op .NET-applicaties en Visual Studio. Over de kwetsbaarheid werden verder geen details vrijgegeven.
Visual Studio Code, de broncode-editor van Microsoft, blijft onaangeroerd. Onderzoekers van Cycode ontdekten een fout in het programma waardoor hackers authenticatietokens uit wachtwoordmanagers van Windows, Linux en macOS kunnen stelen. Dit is mogelijk als hackers een kwaadaardige extensie ontwerpen voor de broncode-editor. De authenticatietokens blijken namelijk niet voldoende geïsoleerd te zijn in de ‘Secret Storage’ van het programma.
De onderzoekers meldde het probleem twee maanden geleden en toonden via een proof-of-concept de mogelijke gevaren aan Microsft. De techgigant vond het niet nodig een oplossing te voorzien.
Lees ook: Microsofts cyberhygiëne opnieuw bekritiseerd: ‘Nog erger dan we dachten’