Microsoft v rámci novembrového Patch Tuesday opravil 4 kritické zraniteľnosti

Spoločnosť Microsoft vydala v novembri 2024 balík opráv pre portfólio svojich produktov opravujúci 89 zraniteľností, z ktorých 52 umožňuje vzdialené vykonávanie kódu. Kritické zraniteľnosti sa nachádzajú vo frameworku .NET, produkte Visual Studio, komponentoch Windows VMSwitch a Window Kerberos a online platforme airlift.microsoft.com a možno ich zneužiť na eskaláciu privilégií a vzdialené vykonanie škodlivého kódu. Zraniteľnosti v komponentoch Windows NT LAN Manager (CVE-2024-43451) a Windows Task Scheduler (CVE-2024-49039) sú aktívne zneužívané útočníkmi.

Zraniteľné systémy:

• .NET 9.0 inštalované na Linux
• Azure CycleCloud 8.0.0 – 8.0.2
• Azure CycleCloud 8.1.0 – 8.1.1
• Azure CycleCloud 8.2.0 – 8.2.2
• Azure CycleCloud 8.3.0
• Azure CycleCloud 8.4.0 – 8.4.2
• Azure CycleCloud 8.5.0
• Azure CycleCloud 8.6.0 – 8.6.4
• Azure Database for PostgreSQL Flexible Server 12
• Azure Database for PostgreSQL Flexible Server 13
• Azure Database for PostgreSQL Flexible Server 14
• Azure Database for PostgreSQL Flexible Server 15
• Azure Database for PostgreSQL Flexible Server 16
• Azure Linux 3.0 ARM
• Azure Linux 3.0 x64
• CBL Mariner 2.0 ARM
• CBL Mariner 2.0 x64
• LightGBM
• Microsoft 365 Apps for Enterprise for 32-bit Systems
• Microsoft 365 Apps for Enterprise for 64-bit Systems
• Microsoft Defender for Endpoint for Android
• Microsoft Defender for Endpoint for iOS
• Microsoft Excel 2016 (32-bit edition)
• Microsoft Excel 2016 (64-bit edition)
• Microsoft Excel 2016 Click-to-Run (C2R) for 32-bit editions
• Microsoft Excel 2016 Click-to-Run (C2R) for 64-bit editions
• Microsoft Exchange Server 2016 Cumulative Update 23
• Microsoft Exchange Server 2019 Cumulative Update 13
• Microsoft Exchange Server 2019 Cumulative Update 14
• Microsoft Office 2016 (32-bit edition)
• Microsoft Office 2016 (64-bit edition)
• Microsoft Office 2019 for 32-bit editions
• Microsoft Office 2019 for 64-bit editions
• Microsoft Office LTSC 2021 for 32-bit editions
• Microsoft Office LTSC 2021 for 64-bit editions
• Microsoft Office LTSC 2024 for 32-bit editions
• Microsoft Office LTSC 2024 for 64-bit editions
• Microsoft Office LTSC for Mac 2021
• Microsoft Office LTSC for Mac 2024
• Microsoft Office Online Server
• Microsoft PC Manager
• Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)
• Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature Pack
• Microsoft SQL Server 2017 for x64-based Systems (CU 31)
• Microsoft SQL Server 2017 for x64-based Systems (GDR)
• Microsoft SQL Server 2019 for x64-based Systems (CU 29)
• Microsoft SQL Server 2019 for x64-based Systems (GDR)
• Microsoft SQL Server 2022 for x64-based Systems (CU 15)
• Microsoft SQL Server 2022 for x64-based Systems (GDR)
• Microsoft SharePoint Enterprise Server 2016
• Microsoft SharePoint Server 2019
• Microsoft SharePoint Server Subscription Edition
• Microsoft TorchGeo
• Microsoft Visual Studio 2022 version 17.10
• Microsoft Visual Studio 2022 version 17.11
• Microsoft Visual Studio 2022 version 17.6
• Microsoft Visual Studio 2022 version 17.8
• Microsoft Word 2016 (32-bit edition)
• Microsoft Word 2016 (64-bit edition)
• Python extension for Visual Studio Code
• Visual Studio Code Remote – SSH Extension
• Windows 10 Version 1607 for 32-bit Systems
• Windows 10 Version 1607 for x64-based Systems
• Windows 10 Version 1809 for 32-bit Systems
• Windows 10 Version 1809 for x64-based Systems
• Windows 10 Version 21H2 for 32-bit Systems
• Windows 10 Version 21H2 for ARM64-based Systems
• Windows 10 Version 21H2 for x64-based Systems
• Windows 10 Version 22H2 for 32-bit Systems
• Windows 10 Version 22H2 for ARM64-based Systems
• Windows 10 Version 22H2 for x64-based Systems
• Windows 10 for 32-bit Systems
• Windows 10 for x64-based Systems
• Windows 11 Version 22H2 for ARM64-based Systems
• Windows 11 Version 22H2 for x64-based Systems
• Windows 11 Version 23H2 for ARM64-based Systems
• Windows 11 Version 23H2 for x64-based Systems
• Windows 11 Version 24H2 for ARM64-based Systems
• Windows 11 Version 24H2 for x64-based Systems
• Windows Server 2008 R2 for x64-based Systems Service Pack 1
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
• Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
• Windows Server 2012
• Windows Server 2012 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server 2022
• Windows Server 2022 (Server Core installation)
• Windows Server 2022, 23H2 Edition (Server Core installation)
• Windows Server 2025
• Windows Server 2025 (Server Core installation)
• airlift.microsoft.com

Opis činnosti:

I. Kritické zraniteľnosti:

CVE-2024-43498 (CVSS skóre 9,8)

Kritická zraniteľnosť v frameworku .NET a produkte Visual Studio spočíva v nesprávnom vyhodnocovaní dátových typov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu. Zraniteľnosť možno zneužiť zaslaním špeciálne vytvorenej požiadavky na zraniteľnú webovú aplikáciu vytvorenú v .NET alebo nahraním špeciálne vytvoreného súboru do desktopovej aplikácie Visual Studio.

CVE-2024-43625 (CVSS skóre 8,1)

Kritickú zraniteľnosť v komponente Windows VMSwitch, ktorý je súčasťou hypervízora Hyper-V, možno zneužiť na eskaláciu privilégií na úroveň oprávnení SYSTEM a následné vykonanie škodlivého kódu. Lokálny útočník by predmetnú zraniteľnosť mohol zneužiť zaslaním špeciálne vytvorenej sekvencie sieťových požiadaviek na ovládač VMSwitch, ktoré by umožnili použitie odalokovaného miesta v pamäti na Hyper-V hoste.

CVE-2024-43639 (CVSS skóre 9,8)

CVE-2024-43639 spočíva v chybnom skracovaní čísel pri konverzii dátových typov v kryptografickom protokole použitom v rámci komponentu Windows Kerberos. Vzdialený neautentifikovaný útočník by ju prostredníctvom špeciálne vytvorenej aplikácie mohol zneužiť na vzdialené vykonanie kódu.

CVE-2024-49056 (CVSS skóre 7,3)

Zraniteľnosť online platformy airlift.microsoft.com spočíva v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený autentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégií na platorme. Zraniteľnosť bola automaticky opravená spoločnosťou Microsoft a nevyžaduje dodatočnú aktualizáciu systémov.

II. Aktívne zneužívané zraniteľnosti:

CVE-2024-43451 (CVSS skóre 6,5)

Zraniteľnosť v komponente Windows NT LAN Manager by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeciálne vytvoreného súboru mohol zneužiť na získanie NTLMv2 hashu obete, ktorý možno v rámci spoofing útokov zneužiť na získanie neoprávneného prístupu do systému. Zneužitie zraniteľnosť vyžaduje interakciu zo strany používateľa, ktorý musí na škodlivý súbor kliknúť.

CVE-2024-49039 (CVSS skóre 8,8)

Windows Task Scheduler obsahuje zraniteľnosť spočívajúcu v nesprávnej implementácii mechanizmov autentifikácie, ktorá umožňuje eskaláciu privilégií na úroveň oprávnení Medium Integrity Level a následné vykonanie RPC (Remote Procedure Call) volaní. Lokálny autentifikovaný útočník by ju mohol zneužiť spustením špeciálne vytvorenej aplikácie v rámci AppContainer.

III. Významné vysoko závažné zraniteľnosti:

CVE-2024-49040 (CVSS skóre 7,5)

Vysoko závažná zraniteľnosť v Microsoft Exchange Server spočíva v nesprávnom overovaní poľa P2 FROM e-mailových hlavičiek a vzdialený neautentifikovaný útočník by ju mohol zneužiť na realizáciu e-mailových spoofing útokov. Zraniteľnosť umožňuje zobrazenie ľubovoľnej adresy odosielateľa v používateľskom rozhraní e-mailových klientov. Na uvedenú zraniteľnosť je v súčasnosti dostupný proof-of-concept kód demonštrujúci návod pre jej zneužitie. Bližšie informácie o zraniteľnosti sú dostupné na stránke spoločnosti Microsoft a blogu bezpečnostného výskumníka Slonser, ktorý ju odhalil.

CVE-2024-49019 (CVSS skóre 7,8)

Zraniteľnosť v rámci Active Directory Certificate Services umožňuje lokálnemu autentifikovanému útočníkovi zneužiť zabudované templaty certifikátov (napr. WebServer template) na vytvorenie CSR (Certificate Signing Request) požiadaviek vedúcich k eskalácii privilégií na úroveň doménového administrátora. Zraniteľné sú všetky certifikáty vytvorené použitím templatu verzie 1, na ktorých je pole „Source of subject name“ nastavené na hodnotu „Supplied in the request“ a templaty nie sú zabezpečené podľa návodu pre zabezpečenie PKI od spoločnosti Microsoft. Zraniteľnosť objavili bezpečnostní výskumníci zo spoločnosti TrustedSec, ktorá zverejnila aj kompletnú analýzu.

Možné škody:

• Vzdialené vykonanie kódu
• Eskalácia privilégií
• Neoprávnený prístup k citlivým údajom
• Zneprístupnenie služby
• Obídenie bezpečnostného prvku
• Spoofing

Odporúčania:

Bezodkladné nasadenie augustového balíka opráv na zraniteľné produkty spoločnosti Microsoft. Bližšie informácie nájdete tu.

Zdroje:

• https://msrc.microsoft.com/update-guide/releaseNote/2024-Nov
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43498
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43625
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43639
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49056
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-43451
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-49039
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49040
• https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-non-compliant-p2from-detection?view=exchserver-2019
• https://blog.slonser.info/posts/email-attacks/
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49019