Microsoft lost Defender zero-day op

Abonneer je gratis op Techzine!

In de patch tuesday van deze maand zorgt Microsoft dat de Defender zero-day-problematiek tot een stop komt. Daarnaast worden er nog 82 beveiligingsbugs gefixt dankzij de update.

Inmiddels wordt de patch over de hele wereld uitgerold en is de kans aanwezig dat je hem al hebt geïnstalleerd. Zo niet, dan kan het helpen om je computer opnieuw op te starten. Het is een belangrijke update, want er worden veel beveiligingsproblemen opgelost: in de cloudproducten van Microsoft, in Windows zelf en op enterprise servers.

Defender

De allerbelangrijkste is echter de Defender zero-day die ervoor zorgde dat mensen code konden uitvoeren op een systeem via Microsoft Defender. De kwetsbaarheid staat geregistreerd als CVE-2021-1647 en kon op afstand worden benaderd.

Deze kwetsbaarheid is ook zeker geëxploiteerd, maar het functioneert volgens Microsoft niet in alle situaties. Hierdoor is het nog een proof-of-concept. In de update zit een patch voor de Microsoft Malware Protection Engine die moet zorgen dat er geen aanvallen meer plaatsvinden. Het wordt automatisch geïnstalleerd, dus je hoeft er als gebruiker of admin niets voor te doen -behalve de Patch Tuesday toestaan- om er gebruik van te maken.

Splwow64

Deze patch is echter ook goed voor een ander probleem: de Windows splwow64-dienst werd eerder misbruikt om de code van de aanvaller belangrijker te maken, maar daar komt nu een einde aan. Ook hiervoor heeft Microsoft een fix uitgebracht. Deze bug, CVE-2021-1648, is 15 december aan het licht gebracht door Trend Micro. Echter is hier volgens Microsoft geen misbruik van gemaakt, voor zover het bedrijf kan zien.

Let op, als je Patch Tuesday binnen je organisatie niet automatisch laat downloaden, dan is het verstandig om de patches bij dezen toe te staan. Hierdoor kan een heleboel leed worden bespaard.