
Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Laatste wijziging op 21-maart-2023
Kwetsbaarheden CVE's
Kwetsbaarheden in de schijnwerpers: Zerodaglekken bij Apple, Google en Microsoft domineren het cyberlandschap
De meeste zerodaylekken die vorig jaar werden gevonden bevonden zich in de software van Apple, Google en Microsoft, zo stelt securitybedrijf Mandiant. Het aantal zerodays in 2022 lag echter lager dan in 2021. Security.NL kwam eind vorig jaar al met een zelfde analyse over de zerodaylekken die dat jaar waren gebruikt bij aanvallen. In totaal telde Mandiant 55 zerodays vorig jaar, waarvan achttien in de software van Microsoft, tien in de software van Google en negen in de software van Apple. Besturingssystemen en browsers waren bij elkaar goed voor dertig van de zerodaylekken. Het gaat hier om kwetsbaarheden waar aanvallers actief misbruik van maken voordat de leverancier een beveiligingsupdate beschikbaar heeft gemaakt. Voor zover mogelijk stelt Mandiant dat de meeste zerodaylekken bij spionageaanvallen werden ingezet. Vier van de kwetsbaarheden hadden voor zover bekend een financieel motief. Naast statelijke actoren die voor de spionageaanvallen verantwoordelijk worden gehouden waren er ook verschillende bedrijven die zerodaylekken te koop aanbieden of producten die hiervan gebruikmaken. Wat betreft de keuze voor Apple, Google en Microsoft laat Mandiant weten dat aanvallers zich vooral op veelgebruikte producten richten omdat een zerodaylek in deze gevallen de meeste toegang oplevert. Aan de andere kant waren ook verschillende nicheproducten doelwit, wat volgens het securitybedrijf aantoont dat aanvallers zich ook richten op de systemen of software waar een specifiek doelwit gebruik van maakt.
Kwetsbaarheden in Samsung Exynos-modems maken Androidtelefoons op afstand over te nemen
In Androidtelefoons die gebruikmaken van een Samsung Exynos-modem bevinden zich meerdere kwetsbaarheden waardoor de toestellen op afstand zijn over te nemen. Een aanvaller hoeft alleen het telefoonnummer van het doelwit te weten, interactie van de gebruiker is niet vereist. Beveiligingsupdates om de problemen te verhelpen zijn niet beschikbaar. Gebruikers die zich willen beschermen worden aangeraden om bellen via wifi en Voice-over-LTE (VoLTE) uit te schakelen. Dat meldt Google. Het Project Zero-team van het techbedrijf ontdekte achttien kwetsbaarheden in Exynos-modems van Samsung. Vier van de achttien kwetsbaarheden maken internet-to-baseband remote code execution mogelijk. Daarbij is het mogelijk om een Androidtelefoon op afstand over te nemen waarbij de aanvaller alleen het telefoonnummer van het doelwit moet weten. Interactie van de gebruiker is niet vereist. Vooralsnog heeft één van de vier kwetsbaarheden een CVE-nummer gekregen, namelijk CVE-2023-24033. "Met beperkt aanvullend onderzoek en ontwikkeling, denken we dat ervaren aanvallers snel een operationele exploit zouden kunnen maken om telefoons in kwestie heimelijk en op afstand over te nemen", zegt Tim Willis van Google Project Zero. Het gaat onder andere om telefoons van Samsung (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 en A04), Vivo (waaronder de S16, S15, S6, X70, X60 en X30), de Pixel 6 en Pixel 7 van Google, wearables met de Exynos W920-chipset en voertuigen met de Exynos Auto T5123-chipset. Google verwacht dat het verschijnen van beveiligingsupdates per fabrikant verschilt. Voor kwetsbare Pixel-telefoons is CVE-2023-24033 met de patchronde van maart al verholpen. Normaliter maakt Google details over kwetsbaarheden negentig dagen nadat het de fabrikant heeft ingelicht openbaar. Vanwege de impact van de vier kwetsbaarheden en dat aanvallers hier vermoedelijk zeer snel misbruik van kunnen maken heeft Google nu besloten om van het eigen beleid af te wijken en vooralsnog geen details openbaar te maken.
Amerikaanse watersector gewaarschuwd voor beveiligingsupdate Microsoft die communicatie tussen industriële systemen kan stoppen
De Amerikaanse watersector is gewaarschuwd voor een beveiligingsupdate van Microsoft waardoor industriële systemen kunnen stoppen met communiceren. Microsoft kwam op 8 juni 2021 met een beveiligingsupdate voor een kwetsbaarheid in Windows DCOM Server, aangeduid als CVE-2021-26414. Via het beveiligingslek is het mogelijk om de authenticatie te omzeilen. Distributed Component Object Model (DCOM) is een protocol gebruikt voor communicatie tussen software en computers op een netwerk. Veel industriële controlesystemen (ICS) van bedrijven zoals Rockwell Automation, GE, Honeywell en Siemens maken gebruik van DCOM. Als oplossing van de kwetsbaarheid besloot Microsoft om verschillende "hardening changes" voor DCOM door te voeren. Om de impact hiervan te beperken werd besloten de DCOM-update gefaseerd uit te rollen. Bij de eerste fase op 8 juni 2021 stond DCOM hardening standaard uitgeschakeld en konden organisaties die zelf inschakelen. Een jaar later op 14 juni 2022 werd de tweede fase gestart, waarbij de hardening standaard werd ingeschakeld, maar organisaties de optie hadden om die uit te schakelen. De laatste fase vond afgelopen dinsdag plaats en zorgt ervoor dat DCOM hardening wordt ingeschakeld en het niet meer is uit te schakelen. Volgens het Amerikaanse Water Information Sharing and Analysis Center (WaterISAC) kan dit ervoor zorgen dat vitale communicatie tussen industriële systemen stopt. Waterbedrijven die na het installeren van de DCOM-patch van 14 maart 2023 opeens de communicatie tussen hun systemen zien wegvallen moeten er dan ook rekening mee houden dat dit de oorzaak is, aldus het WaterISAC.
Gerichte zeroday-aanvallen op overheden via kwetsbaarheid in Fortinet FortiOS
Een vorige week verholpen kwetsbaarheid in Fortinet FortiOS is al voor het uitkomen van de beveiligingsupdate gebruikt bij zeroday-aanvallen op overheden, zo heeft Fortinet zelf bekendgemaakt. De kwetsbaarheid, aangeduid als CVE-2022-41328, maakt path traversal in execute command mogelijk. Hierdoor kan een aanvaller via command line commando's willekeurige bestanden lezen en schrijven. Fortinet ontdekte het probleem nadat meerdere systemen bij een klant niet meer konden opstarten. Verder onderzoek wees uit dat een aanvaller de firmware-image van het Fortinet-apparaat had aangepast. Via de aanpassing is permanente toegang en controle mogelijk. De apparatuur controleert, wanneer de Federal Information Processing Standards (FIPS staat ingeschakeld, tijdens het opstarten de integriteit van de firmware. Wanneer de integriteitscontrole niet slaagt zal het systeem niet opstarten, wat tot het onderzoek van Fortinet leidde. Op basis van de logbestanden bleek dat de aanvaller misbruik van path traversal maakte. Via de gebruikte exploit was het mogelijk om via een TFTP-server willekeurige bestanden naar het FortiGate-apparaat te uploaden en die vervolgens uit te voeren. Fortinet stelt dat de gebruikte exploit een uitgebreide kennis van FortiOS en de onderliggende hardware suggereert. Daarnaast toont de gebruikte malware dat de aanvaller geavanceerde mogelijkheden heeft, waaronder het reverse engineeren van verschillende onderdelen van FortiOS, zo laat Fortinet verder weten. Het netwerkbedrijf stelt daarnaast dat het om een zeer gerichte aanval tegen specifieke overheden ging. Verdere details over de doelwitten zijn niet gegeven.
Amerikaanse overheidsinstanties gewaarschuwd voor kritieke kwetsbaarheid in Plex Media Server na aanval op LastPass
De Amerikaanse overheid waarschuwt federale overheidsinstanties in het land voor een kritieke kwetsbaarheid in Plex Media Server die bij een aanval op wachtwoordmanager LastPass werd gebruikt. Alle overheidsinstanties moeten de beveiligingsupdate die het probleem verhelpt voor 31 maart hebben geïnstalleerd. Daarnaast wordt ook gewaarschuwd voor actief misbruik van een kwetsbaarheid in XStream waarmee aanvallen op VMware Cloud Foundation mogelijk zijn. Plex biedt software voor het opzetten van een mediaserver om daarmee media te streamen. Het bedrijf claimt meer dan 25 miljoen gebruikers wereldwijd. LastPass meldde laatst dat een zeer gevoelig incident waarbij klant- en kluisdata werden gestolen mede plaatsvond via de thuiscomputer van een DevOps-engineer. Deze computer raakte via een kwetsbaarheid in een "third-party media software package", waardoor remote code execution mogelijk was, besmet met malware. Een aanvaller kon via het beveiligingslek een keylogger op de thuiscomputer van de engineer installeren en zijn master password stelen. Zo kreeg de aanvaller toegang tot de zakelijke LastPass-kluis van de DevOps-engineer. Vervolgens kon de aanvaller de inhoud van de LastPass-kluis stelen, waaronder notities met access en decryptiesleutels om toegang tot de AWS S3 LastPass productieback-ups en andere kritieke databaseback-ups van LastPass te krijgen. De "media software" in kwestie bleek Plex te zijn. Plex meldde vervolgens dat de gebruikte kwetsbaarheid CVE-2020-5741 was. Via dit beveiligingslek kan een aanvaller met toegang tot het beheerdersaccount van de Plex-server via de camera-uploadfeature een kwaadaardig bestand op de server uitvoeren. Het beveiligingslek werd begin mei 2020 door Plex via een beveiligingsupdate verholpen. Volgens Plex heeft de betreffende DevOps-engineer van LastPass de update nooit geïnstalleerd en drie jaar lang een kwetsbare versie van de software gedraaid. Hoe de aanvaller het Plex-beheerderswachtwoord van de LastPass-medewerker in handen heeft gekregen is niet bekend. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en heeft daar nu ook het Plex-lek op geplaatst. Het is de eerste kwetsbaarheid in Plex die op de lijst verschijnt. Daarnaast is het overzicht ook aangevuld met CVE-2021-39144, een kwetsbaarheid in XStream waardoor remote code execution in onder andere VMware Cloud Foundation mogelijk is. Onlangs werd bekend dat aanvallers ook van dit lek misbruik maken. Het CISA kan federale overheidsinstanties verplichten om updates voor kwetsbaarheden die op de lijst staan voor een bepaalde datum te patchen.
Kritiek lek in IBM Aspera Faspex gebruikt voor ransomware-aanvallen
Een kritieke kwetsbaarheid in IBM Aspera Faspex wordt gebruikt voor aanvallen met een Linux-versie van de IceFire-ransomware, zo stelt securitybedrijf SentinelOne. Onlangs waarschuwde ook het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) voor actief misbruik van het beveiligingslek in IBM Aspera Faspex. Aspera Faspex is een webapplicatie voor het uitwisselen van bestanden en draait op een Aspera-server. Op 26 januari kwam IBM met een beveiligingsupdate voor een kritieke kwetsbaarheid in Aspera Faspex, aangeduid als CVE-2022-47986. Door een speciaal geprepareerde API-call te versturen kan een aanvaller willekeurige code op het systeem uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 13 februari meldde de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, dat aanvallers misbruik van de kwetsbaarheid maken. De eerste gedetecteerde aanvalspogingen bleken van 3 februari te dateren, een week na het uitkomen van de beveiligingsupdate. Eerder stelde beveiligingsonderzoeker Raphael Mendonca ook al het dat het lek wordt gebruikt voor ransomware-aanvallen op kwetsbare servers. Volgens SentinelOne hebben de criminelen achter de IceFire-ransomware, die het eerst alleen op Windows hadden voorzien, het nu ook op Linux gemunt en gebruiken ze daarbij het Aspera Faspex-lek. Bij de waargenomen aanvallen werden CentOS-systemen gecompromitteerd die een kwetsbare versie van IBM Aspera Faspex draaiden. Vervolgens werden allerlei bestanden op het systeem versleuteld. De onderzoekers merken op dat de ransomware op Linux niet alle bestanden versleutelt. Bepaalde paden worden vermeden, zodat belangrijke onderdelen van het systeem operationeel blijven.
Wachtwoorden in Bitwarden wachtwoordmanager kunnen door autofill feature en iframes worden gestolen, zegt securitybedrijf Flashpoint
Wachtwoorden die in wachtwoordmanager Bitwarden zijn opgeslagen kunnen door een combinatie van de autofill feature en iframes door websites worden gestolen. Het probleem werd voor het eerst in november 2018 aan Bitwarden gemeld (pdf). Onlangs deed ook securitybedrijf Flashpoint dat. Bitwarden heeft aangegeven alleen voor een specifieke hostingprovider met een oplossing te komen. Daarnaast staat de autofill feature volgens de wachtwoordmanager standaard uitgeschakeld. De browser-extensie van Bitwarden kan opgeslagen inloggegevens voor websites invullen wanneer een gebruiker die bezoekt. Standaard zal het gebruikers hier om vragen. Bitwarden biedt echter ook de optie "auto-fill on page load", waarbij inloggegevens automatisch worden ingevuld. Op de eigen website waarschuwt de wachtwoordmanager dat deze feature standaard staat uitgeschakeld, omdat gecompromitteerde of kwaadaardige websites via de feature inloggegevens kunnen stelen. Een ander probleem volgens Flashpoint is dat Bitwarden alleen naar de domeinnaam kijkt om het automatisch invullen van wachtwoorden aan te bieden. Bitwarden zal dit daardoor ook bij een subdomein doen. Volgens het securitybedrijf is dit een probleem wanneer een bedrijf via bijvoorbeeld login.company.tld gebruikers laat inloggen, maar gebruikers via user.company.tld de mogelijkheid biedt om hun eigen content te hosten. Een aanvaller zou zo via user.company.tld inloggegevens voor login.company.tld kunnen stelen. Flashpoint beschrijft twee methodes hoe aanvallers van de werking van de browser-extensie misbruik kunnen maken. Als eerste wanneer een website een externe iframe plaatst waarover de aanvaller controle heeft én de gebruiker auto-fill on page load heeft ingeschakeld. De tweede optie is dat een aanvaller zijn content op een subdomein host, bijvoorbeeld van een hostingprovider, en dat de provider het inlogvenster voor gebruikers onder dezelfde domeinnaam draait. Het securitybedrijf stelt dat het deze laatste optie bij verschillende grote webservices heeft aangetroffen. Een ander punt dat Flashpoint opmerkt is dat wanneer auto-fill on page load staat ingeschakeld, er geen interactie van gebruikers is vereist voor het stelen van inloggegevens. Wanneer een gebruiker zijn gegevens via het contextmenu laat invullen, worden ook inlogformulieren in iframes ingevuld. Flashpoint waarschuwde Bitwarden, maar dat stelde dat het sinds 2018 van dit probleem weet en bewust heeft gekozen om het niet te verhelpen. Dit vanwege de manier waarop autofill werkt en dat de wachtwoordmanager geen inloggegevens zonder toestemming van gebruikers invult, tenzij ze zelf auto-fill on page load hebben ingeschakeld. Vervolgens kwam het securitybedrijf met een demonstratie hoe de aanvalsvector is te gebruiken om inloggegevens bij een bekende hostingprovider te stelen. Daarop liet Bitwarden weten dat het de betreffende hostingomgeving van de autofill feature gaat uitzonderen. De werking van iframes laat de wachtwoordmanager ongemoeid. "Het prioriteren van hun use-case over security en de reactie op ons rapport is zorgwekkend en organisaties moeten zich bewust zijn van de securityzorgen in het product", aldus Flashpoint. Dat voegt toe dat andere wachtwoordmanagers geen autofill bij iframes toepassen. In twee CVE-nummers van de kwetsbaarheid ontkentBitwarden dat het om een beveiligingslek gaat.
Fortinet waarschuwt voor kritieke kwetsbaarheid in FortiOS en FortiProxy waardoor remote code execution mogelijk is
Netwerkfabrikant Fortinet waarschuwt organisaties voor een kritieke kwetsbaarheid in FortiOS en FortiProxy waardoor remote code execution mogelijk is en aanvallers apparaten op afstand kunnen overnemen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en switches. FortiProxy is een gateway die het verkeer van gebruikers op dreigingen monitort. Een kwetsbaarheid in de webinterface van zowel FortiOS als FortiProxy maakt het mogelijk voor een ongeauthenticeerde aanvaller om een buffer underwrite te veroorzaken en zo willekeurige code op het apparaat uit te voeren. De impact van het beveiligingslek (CVE-2023-25610) is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Fortinet stelt dat bij verschillende apparaten de kwetsbaarheid alleen tot een denial of service kan leiden. Onlangs werd een andere kwetsbaarheid in de software van Fortinet kort na het uitkomen van de beveiligingsupdate actief misbruikt bij aanvallen en ook FortiOS is in het verleden geregeld het doelwit van aanvallers geweest. Organisaties worden dan ook opgeroepen de beveiligingsupdate te installeren. Als workaround kan de webinterface worden uitgeschakeld of het aantal ip-adressen dat toegang tot de beheerdersinterface heeft te beperken.
Kritieke kwetsbaarheid in populaire Home Assistant-software stelt ongeautoriseerde toegang op afstand mogelijk
Een kritieke kwetsbaarheid in Home Assistant, populaire software voor domotica, maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand toegang tot installaties te krijgen. De impact van de kwetsbaarheid, aangeduid als CVE-2023-27482, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. De ontwikkelaars hebben een update uitgebracht die het probleem verhelpt. Home Assistant is een opensource-controlesysteem voor smart home devices, met een focus op lokaal beheer en privacy. Het is te gebruiken via een webinterface, smartphone-app of stemopdrachten voor spraakassistenten zoals Google Assistant or Amazon Alexa. Kwetsbaarheid CVE-2023-27482 maakt het mogelijk voor een remote aanvaller om de authenticatie te omzeilen en direct de Supervisor API van Home Assistant benaderen. Een aanvaller kan vervolgens updates installeren en add-ons en back-ups beheren. Het probleem is aanwezig in Home Assistant OS en Home Assistant Supervised. Het gaat ook om installaties die op Home Assistant Blue en Home Assistant Yellow draaien. De kwetsbaarheid is verholpen in Home Assistant 2023.3.0. Deze versie verscheen op 1 maart en is sindsdien door een derde van de gebruikers geïnstalleerd, aldus Home Assistant. Gebruikers die een kwetsbare versie draaien wordt aangeraden te updaten of anders hun Home Assistance-installatie niet toegankelijk vanaf internet te maken. Er zijn ruim 231.000 installaties van Home Assistance actief.
Actief misbruik van lekken in Apache Spark, ManageEngine en GLPi
Aanvallers maken actief misbruik van kwetsbaarheden in Zoho ManageEngine ADSelfService Plus, Apache Spark en Teclib GLPi, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security. Amerikaanse overheidsinstanties zijn opgedragen om de kwetsbaarheden voor 28 maart te patchen. Apache Spark is software voor grootschalige dataverwerking. Een kwetsbaarheid in het product, aangeduid als CVE-2022-33891, maakt command injection mogelijk. Volgens de Shadowserver Foundation wordt er al sinds 26 juli vorig jaar misbruik van het beveiligingslek gemaakt. De kwetsbaarheid in Zoho ManageEngine ADSelfService Plus maakt remote code execution mogelijk bij het uitvoeren van een wachtwoordreset. ManageEngine ADSelfService Plus is een self-service password management en single sign-on oplossing voor Active Directory en cloud-apps. Het stelt gebruikers onder andere in staat om zelf hun wachtwoord te resetten. De derde kwetsbaarheid waarvoor het CISA waarschuwt is aanwezig in Teclib GLPi. Dit is een open source "IT Asset Management" oplossing waarmee organisaties it-systemen kunnen beheren en support aan gebruikers bieden. Een library waar GLPi gebruik van maakt bevat een kwetsbaarheid (CVE-2022-35914) waardoor remote code execution mogelijk is. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Eerder liet ook de Franse overheid weten dat aanvallers misbruik van het betreffende lek maken.
Androidtelefoons door middel van kritieke lekken op afstand over te nemen
Google waarschuwt eigenaren van een Androidtelefoon voor kritieke kwetsbaarheden waardoor remote code execution zonder enige interactie van gebruikers mogelijk is. De beveiligingslekken, aangeduid als CVE-2023-20951 en CVE-2023-20954, zijn aanwezig in Android System. Google geeft geen verdere details over de problemen, behalve dat er voor Android 11, 12, 12L en 13 updates zijn verschenen. In totaal heeft Google met de patchronde van maart zestig kwetsbaarheden verholpen. Het gaat zowel om beveiligingslekken die direct in de Androidcode aanwezig zijn, als in de software van andere partijen waar Android gebruik van maakt. Naast de twee kritieke kwetsbaarheden in Android System gaat het ook om twee beveiligingslekken in onderdelen van chipfabrikant Qualcomm die ook op afstand zijn te misbruiken. Het gaat als eerste om een lek in de datamodem, aangeduid als CVE-2022-33213. Door het versturen van een speciaal geprepareerd PPP-pakket kan er een buffer overflow ontstaan. De tweede kwetsbaarheid (CVE-2022-33256) is aanwezig in de multi-mode call processor en kan tot memory corruption leiden. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de maart-updates ontvangen zullen '2023-03-01' of '2023-03-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van maart aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 11, 12, 12L en 13. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Proof-of-concept exploit gepubliceerd voor kritieke kwetsbaarheid in Microsoft Word met remote code execution mogelijkheid
Een beveiligingsonderzoeker heeft een proof-of-concept exploit gepubliceerd voor een kritieke kwetsbaarheid in Microsoft Word. Via het beveiligingslek is remote code execution mogelijk, waardoor in het ergste geval het systeem kan worden overgenomen. Het laden van een malafide document via de preview pane (voorbeeldvenster) is al voldoende, wat inhoudt dat er weinig gebruikersinteractie vereist is. De impact van de kwetsbaarheid, aangeduid als CVE-2023-21716, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Microsoft kwam vorige maand met beveiligingsupdates voor de kwetsbaarheid, die door beveiligingsonderzoeker Joshua Drake werd gerapporteerd. Het techbedrijf adviseerde ook als workaround om geen rtf-bestanden van onbetrouwbare of onbekende bronnen te openen en e-mailberichten in plain text te lezen. Microsoft stelde verder dat de kans op misbruik van de kwetsbaarheid "minder waarschijnlijk" is. Dit weekend publiceerde Drake een proof-of-concept exploit voor het door hem ontdekte beveiligingslek. Die blijkt ook gepatchte versies van Microsoft Word te kunnen laten crashen, aldus onderzoeker Will Dormann. Tevens laat Raj Samani van securitybedrijf Rapid7 weten dat er inmiddels ook misbruik van de kwetsbaarheid wordt gemaakt, maar hier zijn nog geen verdere meldingen over.
CVE-2023-21716 Python PoC (take 2) open("t3zt.rtf","wb").write(("{\\rtf1{\n{\\fonttbl" + "".join([ ("{\\f%dA;}\n" % i) for i in range(0,32761) ]) + "}\n{\\rtlch no crash??}\n}}\n").encode('utf-8'))
— Joshua J. Drake (@jduck) March 5, 2023
Weird that this PoC still crashes Office for Mac Version 16.70 (Build 23021201), which reportedly has the fix for CVE-2023-21716, huh?
— Will Dormann (@wdormann) March 7, 2023
🤔 https://t.co/hKOiUVU58U pic.twitter.com/7K4r8qO2hL
Update on CVE-2023-21716 now included in @AttackerKb - Microsoft Word Remote Code Execution Vulnerability reported as exploited in the wild:https://t.co/mvFLMmQT4G #infosec pic.twitter.com/NAsuKxpIeD
— Raj Samani (@Raj_Samani) March 6, 2023
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers