Microsoft patcht zero-daylek pas twee weken na ontdekking

Eind vorige maand had iemand zomaar een zero-daylek op Twitter gedumpt waarmee gebruikers toegang krijgen tot Windows 10-systemen. De vondst werd later die dag bevestigd, maar pas vandaag heeft Microsoft een update vrijgegeven om het lek te dichten.

Op 29 augustus had een iemand zomaar een zero-daylek voor Windows 10 op Twitter gegooid met een proof-of-concept op GitHub zodat iedereen ermee aan de slag kon. Microsoft oordeelde toen dat de nieuwe kwetsbaarheid is niet ernstig genoeg om een aparte patch te forceren buiten Patch Tuesday. Vandaag heeft het een patch vrijgegeven om het lek te dichten.

Machine kapen

Microsoft Windows task scheduler bevatte een kwetsbaarheid in de controle over Advanced Local Procedure Call (ALPC). Die laatste geeft een lokale gebruiker toegang tot SYSTEM-privileges. ALPC beperkt echter wel de impact van het zero-daylek. Het gaat namelijk om een lokale bug. Je moet al ingelogd zijn, of de code moet al draaien, om een machine te kapen.

Het gevaar leek initieel niet zo ernstig, maar later werd het zero-daylek wel geïntegreerd in een malwarecampagne. Dat heeft alles in een stroomversnelling gezet om een snelle oplossing te realiseren. Wie vandaag Windows Update draait, krijgt de patch automatisch binnen.

Andere lekken

Verder heeft Microsoft nog 61 andere veiligheidslekken gedicht. Het gaat om Windows, Microsoft Edge, Internet Explorer, ASP.NET, het .NET-framework, Microsoft Office, Microsoft Office Services en Web Apps en Adobe Flash Player.

Van alle patches waren er 17 kritiek volgens Microsoft. Dit betekent dat misbruik relatief eenvoudig is en zou resulteren in nog meer schade. Wil je graag in detail zien wat er allemaal gepatcht is? Surf dan naar Microsofts officiële Security Update Guide portaal. Daar kan je interactief filteren zodat je enkel de opties vindt die relevant zijn voor jou.