Patch Tuesday dicht zero day en nieuw lek in Print Spooler

De patches van oktober, die gisteren zijn uitgebracht, zijn bestemd voor zeker vier lekken die al publiekelijk bekend zijn. Drie daarvan worden nog niet actief misbruikt, voor zover bekend. Wel zit hier ook een lek bij in Exchange Server waar de Amerikaanse National Security Agency (NSA) melding van heeft gemaakt aan Microsoft. Van de 71 lekken zijn er twee aangemerkt als kritiek en 68 als ‘important'. Eén valt onder de categorie ‘Low severity’.

Spionage

Het kritieke lek in de Win32k-driver wordt al sinds augustus gebruikt door een bekende Chinees sprekende groep criminelen in gerichte aanvallen op defensietoeleveranciers, IT-bedrijven en diplomatieke organisaties. Daarbij gaat het om CVE-2021-40449, een lek in de Win32k kernel driver waarmee kwaadwillenden privileges kunnen escaleren op een gecompromitteerd Windows-systeem. Het lek is overigens niet op afstand te misbruiken. Volgens beveiliger Kapsersky, die het lek in augustus ontdekte, werd het gebruikt in een grote cyberspionagecampagne. Kaspersky stelt dat het lek is gebruikt door de Chineessprekende bende IronHusky, die al sinds 2012 actief is. Geadviseerd wordt de patch zo snel mogelijk door te voeren.

Onder de lekken die deze maand gedicht kunnen worden, zit er ook weer een in de Print Spooler-technologie. CVE-2021-36970 is een spoofing lek in Print Spooler. Eerder lekken in Print Spooler kregen al de bijnaam PrintNightmare omdat de potientiële schade die criminelen Hiermee kunnen aanrichten zeer fors is.