Microsoft Patch Tuesday opravuje 5 zero-day zraniteľností

Spoločnosť Microsoft v rámci októbrového Patch Tuesday vydala bezpečnostné aktualizácie svojich produktov, ktoré opravujú 118 zraniteľností, z toho 3 kritické, 5 zero-day a 2 aktívne zneužívané. Zero-day zraniteľnosti umožňujú vzdialené vykonanie kódu, obídenie bezpečnostných prvkov, eskaláciu privilégií a realizáciu útokov falšovaním rôznych prvkov.

Zraniteľné systémy:

  • .NET 6.0 installed on Linux
  • .NET 6.0 installed on Mac OS
  • .NET 6.0 installed on Windows
  • .NET 8.0 installed on Linux
  • .NET 8.0 installed on Mac OS
  • .NET 8.0 installed on Windows
  • Azure CLIAzure Monitor Agent
  • Azure Service Connector
  • Azure Service Fabric 10.0 for Linux
  • Azure Service Fabric 10.1 for Linux
  • Azure Service Fabric 9.1 for Linux
  • Azure Stack HCI 22H2
  • Azure Stack HCI 23H2
  • CBL Mariner 2.0 ARM
  • CBL Mariner 2.0 x64
  • DeepSpeed
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 3.0 Service Pack 2
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 3.5 AND 4.7.2
  • Microsoft .NET Framework 3.5 AND 4.8
  • Microsoft .NET Framework 3.5 AND 4.8.1
  • Microsoft .NET Framework 3.5.1
  • Microsoft .NET Framework 4.6.2
  • Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
  • Microsoft .NET Framework 4.6/4.6.2
  • Microsoft .NET Framework 4.8
  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft Configuration Manager 2303
  • Microsoft Configuration Manager 2309
  • Microsoft Configuration Manager 2403
  • Microsoft Copilot Studio
  • Microsoft Defender for Endpoint for Linux
  • Microsoft Edge (Chromium-based)
  • Microsoft Excel 2016 (32-bit edition)
  • Microsoft Excel 2016 (64-bit edition)
  • Microsoft Office 2016 (32-bit edition)
  • Microsoft Office 2016 (64-bit edition)
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 32-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft Office LTSC 2024 for 32-bit editions
  • Microsoft Office LTSC 2024 for 64-bit editions
  • Microsoft Outlook for Android
  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Server Subscription Edition
  • Microsoft Visual Studio 2015 Update 3
  • Microsoft Visual Studio 2017 version 15.9 (includes 15.0 – 15.8)
  • Microsoft Visual Studio 2019 version 16.11 (includes 16.0 – 16.10)
  • Microsoft Visual Studio 2022 version 17.10
  • Microsoft Visual Studio 2022 version 17.11
  • Microsoft Visual Studio 2022 version 17.6
  • Microsoft Visual Studio 2022 version 17.8
  • Power BI Report Server – May 2024
  • Remote Desktop client for Windows Desktop
  • Visual C++ Redistributable Installer
  • Visual Studio CodeWindows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 10 Version 22H2 for 32-bit Systems
  • Windows 10 Version 22H2 for ARM64-based Systems
  • Windows 10 Version 22H2 for x64-based Systems
  • Windows 11 version 21H2 for ARM64-based Systems
  • Windows 11 version 21H2 for x64-based Systems
  • Windows 11 Version 22H2 for ARM64-based Systems
  • Windows 11 Version 22H2 for x64-based Systems
  • Windows 11 Version 23H2 for ARM64-based Systems
  • Windows 11 Version 23H2 for x64-based Systems
  • Windows 11 Version 24H2 for ARM64-based Systems
  • Windows 11 Version 24H2 for x64-based Systems
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022, 23H2 Edition (Server Core installation)

Opis činnosti:

Spoločnosť Microsoft v rámci októbrového Patch Tuesday vydala bezpečnostné aktualizácie svojich produktov, ktoré opravujú 118 zraniteľností, z toho 3 kritické, 5 zero-day a 2 aktívne zneužívané.

CVE-2024-43573 (CVSS skóre 6,5)
Aktívne zneužívaná zero-day zraniteľnosť platformy MSHTML, ktorá umožňuje falšovať isté prvky. Bližšie informácie o tejto chybe Microsoft nezverejnil.

CVE-2024-43572 (CVSS skóre 7,8)
Aktívne zneužívaná zero-day zraniteľnosť Microsoft Management Saved Console, ktorá umožňuje vzdialené vykonávanie kódu prostredníctvom súborov MSC. Oprava tejto chyby zamedzuje otvoreniu MSC súborov z nedôveryhodných zdrojov.

CVE-2024-6197 (CVSS skóre 7,5)
Zero-day zraniteľnosť v knižnici libcurl. Funkcia knižnice utf8asn1str() spracúva reťazce typu ASN.1 UTF-8 spôsobom, ktorý vedie k možnosti prepísania častí pamäte na zásobníku. To môže spôsobiť pád aplikácie. Chyba môže mať potenciál aj pre iné spôsoby zneužitia. Zraniteľnosť môže útočník zneužiť pomocou servera pod svojou kontrolou, ktorý poskytne zraniteľnej inštancii špeciálne upravený TLS certifikát.

CVE-2024-20659 (CVSS skóre 7,1)
Zero-day zraniteľnosť Hyper-V, ktorá umožňuje obchádzať bezpečnostné prvky. Útočník s lokálnym prístupom ku zraniteľnej inštancii na špecifickom hardvéri môže obísť zabezpečenie UEFI a získať kontrolu nad hypervízorom a zabezpečeným jadrom. Potrebuje na to vykonať reštart zadiadenia.

CVE-2024-43583 (CVSS skóre 7,8)
Zero-day zraniteľnosť Winlogon, ktorá umožňuje zvýšenie oprávnení v OS na úroveň SYSTEM. Bližšie informácie o tejto chybe Microsoft nezverejnil.

Ostatné zraniteľnosti možno zneužiť na eskaláciu privilégií, obídenie bezpečnostných prvkov, vzdialené vykonanie kódu, získanie neoprávneného prístupu k citlivým údajom, zneprístupnenie služby a falšovanie rôznych prvkov.

Možné škody:

  • Vzdialené vykonávanie kódu
  • Obídenie bezpečnostných prvkov
  • Únik citlivých informácií
  • Eskalácia privilégií
  • Falšovanie prvkov
  • Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná aplikácia záplat októbrového balíka Microsoft Patch Tuesday.

Zraniteľnosť CVE-2024-43583 odporúča Microsoft mitigovať povolením oficiálneho Microsoft IME (Input Method Editor). To zabráni zneužitiu potenciálne zraniteľných IME tretích strán.

Odkazy: