Microsoft v rámci septembrového Patch Tuesday opravil 7 kritických zraniteľností

Spoločnosť Microsoft vydala v septembri 2024 balík opráv pre portfólio svojich produktov opravujúci 79 zraniteľností, z ktorých 19 umožňuje vzdialené vykonávanie kódu. Kritické zraniteľnosti sa nachádzajú v produktoch Microsoft SharePoint Server, Azure Web Apps a Azure Stack Hub a v komponentoch Windows Network Address Translation a Microsoft Windows Update a možno ich zneužiť na eskaláciu privilégií a vzdialené vykonanie škodlivého kódu. Zraniteľnosti s označením CVE-2024-38014, CVE-2024-38217, CVE-2024-38226, CVE-2024-43491 v Microsoft Publisher a komponentoch Windows Installer, MOTW (Mark of the Web) a Windows Update sú aktívne zneužívané útočníkmi.

Zraniteľné systémy:

  • Azure CycleCloud 8.0.0
  • Azure CycleCloud 8.0.1
  • Azure CycleCloud 8.0.2
  • Azure CycleCloud 8.1.0
  • Azure CycleCloud 8.1.1
  • Azure CycleCloud 8.2.0
  • Azure CycleCloud 8.2.1
  • Azure CycleCloud 8.2.2
  • Azure CycleCloud 8.3.0
  • Azure CycleCloud 8.4.0
  • Azure CycleCloud 8.4.1
  • Azure CycleCloud 8.4.2
  • Azure CycleCloud 8.5.0
  • Azure CycleCloud 8.6.0
  • Azure CycleCloud 8.6.1
  • Azure CycleCloud 8.6.2
  • Azure CycleCloud 8.6.3
  • Azure Network Watcher VM Extension for Windows
  • Azure Stack Hub
  • Azure Web Apps
  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft AutoUpdate for Mac
  • Microsoft Dynamics 365 (on-premises) version 9.1
  • Microsoft Dynamics 365 Business Central 2023 Release Wave 1
  • Microsoft Dynamics 365 Business Central 2023 Release Wave 2
  • Microsoft Dynamics 365 Business Central 2024 Release Wave 1
  • Microsoft Excel 2016 (32-bit edition)
  • Microsoft Excel 2016 (64-bit edition)
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 32-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft Office LTSC for Mac 2021
  • Microsoft Office Online Server
  • Microsoft Office for Android
  • Microsoft Office for Universal
  • Microsoft Publisher 2016 (32-bit edition)
  • Microsoft Publisher 2016 (64-bit edition)
  • Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)
  • Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature Pack
  • Microsoft SQL Server 2017 for x64-based Systems (CU 31)
  • Microsoft SQL Server 2017 for x64-based Systems (GDR)
  • Microsoft SQL Server 2019 for x64-based Systems (CU 28)
  • Microsoft SQL Server 2019 for x64-based Systems (GDR)
  • Microsoft SQL Server 2022 for x64-based Systems (CU 14)
  • Microsoft SQL Server 2022 for x64-based Systems (GDR)
  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Server Subscription Edition
  • Microsoft Visio 2016 (32-bit edition)
  • Microsoft Visio 2016 (64-bit edition)
  • Outlook for iOS
  • Power Automate for Desktop
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 10 Version 22H2 for 32-bit Systems
  • Windows 10 Version 22H2 for ARM64-based Systems
  • Windows 10 Version 22H2 for x64-based Systems
  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 11 Version 22H2 for ARM64-based Systems
  • Windows 11 Version 22H2 for x64-based Systems
  • Windows 11 Version 23H2 for ARM64-based Systems
  • Windows 11 Version 23H2 for x64-based Systems
  • Windows 11 Version 24H2 for ARM64-based Systems
  • Windows 11 Version 24H2 for x64-based Systems
  • Windows 11 version 21H2 for ARM64-based Systems
  • Windows 11 version 21H2 for x64-based Systems
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022, 23H2 Edition (Server Core installation)

Opis činnosti:

  1. Kritické zraniteľnosti:

CVE-2024-43491 (CVSS skóre 9,8)

Kritická zraniteľnosť v komponente Windows Update spočíva v použití odalokovaného miesta v pamäti a vzdialený neautentifikovaný útočník by ju prostredncítvom zaslania špeciálne vytvorenej požiadavky mohol zneužiť na vykonanie škodlivého kódu. Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi.

CVE-2024-38018 (CVSS skóre 8,8), CVE-2024-43464 (CVSS skóre 7,2)

Zraniteľnosti v produkte Microsoft SharePoint spočívajú v  deserializácii nedôveryhodných dát a umožňujú vzdialené vykonanie škodlivého kódu.

Pre úspešné zneužitie CVE-2024-38018 musí útočník disponovať oprávneniami úrovne „Site Member“ a vyššie.

Zraniteľnosť s označením CVE-2024-43464 vyžaduje oprávnenia úrovne „Site Owner“ a vyššie a je možné zneužiť nahraním špeciálne vytvoreného súboru a následným zaslaním špeciálne vytvorenej API požiadavky, ktorá vedie k deserializácii parametrov tohto súboru.

CVE-2024-38119 (CVSS skóre 7,5)

Komponent Windows Network Address Translation obsahuje zraniteľnosť spočívajúcu v použití odalokovaného miesta v pamäti, ktorú možno zneužiť na vykonanie škodlivého kódu. Zneužitie zraniteľnosti vyžaduje, aby sa útočník nachádzal v rovnakom sieťovom segmente.

CVE-2024-38194 (CVSS skóre 8,4)

Zraniteľnosť v Azure Web Apps spočíva v nesprávnom overovaní vstupov a vzdialený autentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégií. Zraniteľnosť bola opravená spoločnosťou Microsoft a nie je potrebná ďalšia aktivita zo strany používateľov.

CVE-2024-38220 (CVSS skóre 9,0), CVE-2024-38216 (CVSS skóre 8,2)

Zraniteľnosti v Azure Stack Hub (CVE-2024-38220, CVE-2024-38216) spočívajú v nesprávnom overovaní vstupov a vzdialený autentifikovaný útočník by ich mohol zneužiť na eskaláciu privilégií a získanie neoprávneného prístupu k systémovým zdrojom. Zneužitie zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí iniciovať spojenie

  1. Aktívne zneužívané zraniteľnosti:

Aktívne zneužívané zraniteľnosti sa nachádzajú v produkte Microsoft Publisher (CVE-2024-38226), komponentoch Windows Installer (CVE-2024-38014) a Windows Update (CVE-2024-43491) a bezpečnostnom mechanizme Mark of the Web (CVE-2024-38217). Uvedené zraniteľnosti možno zneužiť na vzdialené vykonanie kódu, eskaláciu privilégií a obídenie bezpečnostných mechanizmov SmartScreen.

Možné škody:

  • Vzdialené vykonanie kódu
  • Eskalácia privilégií
  • Neoprávnený prístup k citlivým údajom
  • Zneprístupnenie služby
  • Obídenie bezpečnostného prvku
  • Spoofing

Odporúčania:

Bezodkladné nasadenie augustového balíka opráv na zraniteľné produkty spoločnosti Microsoft. Bližšie informácie nájdete tu.

Zdroje: