Microsoft v rámci júlového Patch Tuesday opravil kritické a zero-day zraniteľnosti

Spoločnosť Microsoft vydala v júli 2024 balík opráv pre portfólio svojich produktov opravujúci 139 zraniteľností, z ktorých 54 umožňuje vzdialené vykonávanie kódu. Kritické zraniteľnosti sa nachádzajú v produkte Microsoft SharePoint Server a komponentoch Windows Imaging Component a Windows Remote Desktop Licensing Service. Zero-day zraniteľnosti s označením CVE-2024-38080 a CVE-2024-38112 sú aktívne zneužívané útočníkmi.

Zraniteľné systémy:

  • .NET 8.0
  • Azure CycleCloud 7.9.0
  • Azure CycleCloud 7.9.1
  • Azure CycleCloud 7.9.10
  • Azure CycleCloud 7.9.11
  • Azure CycleCloud 7.9.2
  • Azure CycleCloud 7.9.3
  • Azure CycleCloud 7.9.4
  • Azure CycleCloud 7.9.5
  • Azure CycleCloud 7.9.6
  • Azure CycleCloud 7.9.7
  • Azure CycleCloud 7.9.8
  • Azure CycleCloud 7.9.9
  • Azure CycleCloud 8.0.0
  • Azure CycleCloud 8.0.1
  • Azure CycleCloud 8.0.2
  • Azure CycleCloud 8.1.0
  • Azure CycleCloud 8.1.1
  • Azure CycleCloud 8.2.0
  • Azure CycleCloud 8.2.1
  • Azure CycleCloud 8.2.2
  • Azure CycleCloud 8.3.0
  • Azure CycleCloud 8.4.0
  • Azure CycleCloud 8.4.1
  • Azure CycleCloud 8.4.2
  • Azure CycleCloud 8.5.0
  • Azure CycleCloud 8.6.0
  • Azure DevOps Server 2022.1
  • Azure Kinect SDK
  • Azure Network Watcher VM Extension for Windows
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 3.0 Service Pack 2
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 3.5 AND 4.7.2
  • Microsoft .NET Framework 3.5 AND 4.8
  • Microsoft .NET Framework 3.5 AND 4.8.1
  • Microsoft .NET Framework 3.5.1
  • Microsoft .NET Framework 4.6.2
  • Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
  • Microsoft .NET Framework 4.6/4.6.2
  • Microsoft .NET Framework 4.8
  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft Defender for IoT
  • Microsoft Dynamics 365 (on-premises) version 9.1
  • Microsoft OLE DB Driver 18 for SQL Server
  • Microsoft OLE DB Driver 19 for SQL Server
  • Microsoft Office 2016 (32-bit edition)
  • Microsoft Office 2016 (64-bit edition)
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 32-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft Outlook 2016 (32-bit edition)
  • Microsoft Outlook 2016 (64-bit edition)
  • Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)
  • Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature Pack
  • Microsoft SQL Server 2017 for x64-based Systems (CU 31)
  • Microsoft SQL Server 2017 for x64-based Systems (GDR)
  • Microsoft SQL Server 2019 for x64-based Systems (CU 27)
  • Microsoft SQL Server 2019 for x64-based Systems (GDR)
  • Microsoft SQL Server 2022 for x64-based Systems (CU 13)
  • Microsoft SQL Server 2022 for x64-based Systems (GDR)
  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Server Subscription Edition
  • Microsoft Visual Studio 2022 version 17.10
  • Microsoft Visual Studio 2022 version 17.4
  • Microsoft Visual Studio 2022 version 17.6
  • Microsoft Visual Studio 2022 version 17.8
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 10 Version 22H2 for 32-bit Systems
  • Windows 10 Version 22H2 for ARM64-based Systems
  • Windows 10 Version 22H2 for x64-based Systems
  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 11 Version 22H2 for ARM64-based Systems
  • Windows 11 Version 22H2 for x64-based Systems
  • Windows 11 Version 23H2 for ARM64-based Systems
  • Windows 11 Version 23H2 for x64-based Systems
  • Windows 11 version 21H2 for ARM64-based Systems
  • Windows 11 version 21H2 for x64-based Systems
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022, 23H2 Edition (Server Core installation)

Opis činnosti:

Spoločnosť Microsoft opravila v rámci svojho pravidelného balíka aktualizácií Patch Tuesday 139 zraniteľností, z toho je 5 je označených ako kritické a 4 ako zero-day. Najzávažnejšie zraniteľnosti možno zneužiť na vzdialené vykonanie kódu, eskaláciu privilégií, obídenie bezpečnostných prvkov, získanie neoprávneného prístupu k citlivým údajom, či zneprístupnenie služby. Zero-day zraniteľnosti s označením CVE-2024-38080 a CVE-2024-38112 sú aktívne zneužívané útočníkmi.

Kritické zraniteľnosti:

CVE-2024-38074, CVE-2024-38076,  CVE-2024-38077 (CVSS skóre 9,8)

Kritické zraniteľnosti v komponente Windows Remote Desktop Licencing Service spočívajú v podtečení celočíselnej premennej (CVE-2024-38074) a pretečení medzipamäte haldy (CVE-2024-38076, CVE-2024-38077). Vzdialený neautentifikovaný útočník by ich prostredníctvom zaslania špeciálne vytvorených paketov alebo správ mohol zneužiť na vykonanie škodlivého kódu.

CVE-2024-38060 (CVSS skóre 8,8)

Komponent Windows Imaging Component obsahuje zraniteľnosť, ktorá umožňuje vzdialené vykonanie škodlivého kódu. Úspešné zneužitie zraniteľnosti vyžaduje, aby autentifikovaný útočník nahral škodlivý TIFF súbor na zraniteľný server.

CVE-2024-38023 (CVSS skóre 7,2)

Zraniteľnosť v produkte Microsoft SharePoint Server umožňuje vzdialenému autentifikovanému útočníkovi s oprávneniami úrovne „Site Owner“ alebo vyššie vykonať škodlivý kód v kontexte SharePoint servera. Zraniteľnosť je možné zneužiť nahraním špeciálne vytvoreného súboru a následným zaslaním špeciálne vytvorenej API požiadavky, ktorá vedie k deserializácii parametrov tohto súboru.

Zero-day zraniteľnosti:

CVE-2024-38080 (CVSS skóre 7,8)

Zraniteľnosť v komponente Hyper-V spočíva v pretečení celočíselnej premennej a vzdialený autentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégií na úroveň používateľa SYSTEM. Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi.

CVE-2024-38112 (CVSS skóre 7,5)

Komponent MSHTML Platform obsahuje aktívne zneužívanú zraniteľnosť, ktorú možno zneužiť na vykonanie bližšie nešpecifikovaných spoofing útokov. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí spustiť škodlivý súbor vytvorený útočníkom.

CVE-2024-35264 (CVSS skóre 8,1)

CVE-2024-35264 v produktoch .NET a Visual Studio Code spočíva v použití odalokovaného miesta v pamäti, ktoré možno zneužiť na vzdialené vykonanie kódu. Pre úspešné zneužitie zraniteľnosti musí útočník vyhrať súbeh procesov, čo môže docieliť prerušením http/3 streamu počas prebiehajúceho spracovávania tela požiadavky.

CVE-2024-37985 (CVSS skóre 5,9)

Windows 11 verzie 23H2 a 22H2 pre platformu ARM obsahujú zraniteľnosť, ktorú by lokálny neautentifikovaný útočník mohol zneužiť na získanie neoprávneného prístupu k obsahu haldy privilegovaného procesu bežiaceho na serveri.

Možné škody:

  • Vzdialené vykonanie kódu
  • Eskalácia privilégií
  • Neoprávnený prístup k citlivým údajom
  • Zneprístupnenie služby
  • Obídenie bezpečnostného prvku

Odporúčania:

Bezodkladné nasadenie júlového balíka opráv na zraniteľné produkty spoločnosti Microsoft nájdete tu.

Zdroje:

https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38023

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38060

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38074

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38076

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-38080

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-38112

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-35264

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-37985