Microsoft v rámci novembrového Patch Tuesday opravil 4 kritické zraniteľnosti

Spoločnosť Microsoft vydala v novembri 2024 balík opráv pre portfólio svojich produktov opravujúci 89 zraniteľností, z ktorých 52 umožňuje vzdialené vykonávanie kódu. Kritické zraniteľnosti sa nachádzajú vo frameworku .NET, produkte Visual Studio, komponentoch Windows VMSwitch a Window Kerberos a online platforme airlift.microsoft.com a možno ich zneužiť na eskaláciu privilégií a vzdialené vykonanie škodlivého kódu. Zraniteľnosti v komponentoch Windows NT LAN Manager (CVE-2024-43451) a Windows Task Scheduler (CVE-2024-49039) sú aktívne zneužívané útočníkmi.

Zraniteľné systémy:

  • .NET 9.0 inštalované na Linux
  • Azure CycleCloud 8.0.0 – 8.0.2
  • Azure CycleCloud 8.1.0 – 8.1.1
  • Azure CycleCloud 8.2.0 – 8.2.2
  • Azure CycleCloud 8.3.0
  • Azure CycleCloud 8.4.0 – 8.4.2
  • Azure CycleCloud 8.5.0
  • Azure CycleCloud 8.6.0 – 8.6.4
  • Azure Database for PostgreSQL Flexible Server 12
  • Azure Database for PostgreSQL Flexible Server 13
  • Azure Database for PostgreSQL Flexible Server 14
  • Azure Database for PostgreSQL Flexible Server 15
  • Azure Database for PostgreSQL Flexible Server 16
  • Azure Linux 3.0 ARM
  • Azure Linux 3.0 x64
  • CBL Mariner 2.0 ARM
  • CBL Mariner 2.0 x64
  • LightGBM
  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft Defender for Endpoint for Android
  • Microsoft Defender for Endpoint for iOS
  • Microsoft Excel 2016 (32-bit edition)
  • Microsoft Excel 2016 (64-bit edition)
  • Microsoft Excel 2016 Click-to-Run (C2R) for 32-bit editions
  • Microsoft Excel 2016 Click-to-Run (C2R) for 64-bit editions
  • Microsoft Exchange Server 2016 Cumulative Update 23
  • Microsoft Exchange Server 2019 Cumulative Update 13
  • Microsoft Exchange Server 2019 Cumulative Update 14
  • Microsoft Office 2016 (32-bit edition)
  • Microsoft Office 2016 (64-bit edition)
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 32-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft Office LTSC 2024 for 32-bit editions
  • Microsoft Office LTSC 2024 for 64-bit editions
  • Microsoft Office LTSC for Mac 2021
  • Microsoft Office LTSC for Mac 2024
  • Microsoft Office Online Server
  • Microsoft PC Manager
  • Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)
  • Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature Pack
  • Microsoft SQL Server 2017 for x64-based Systems (CU 31)
  • Microsoft SQL Server 2017 for x64-based Systems (GDR)
  • Microsoft SQL Server 2019 for x64-based Systems (CU 29)
  • Microsoft SQL Server 2019 for x64-based Systems (GDR)
  • Microsoft SQL Server 2022 for x64-based Systems (CU 15)
  • Microsoft SQL Server 2022 for x64-based Systems (GDR)
  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Server Subscription Edition
  • Microsoft TorchGeo
  • Microsoft Visual Studio 2022 version 17.10
  • Microsoft Visual Studio 2022 version 17.11
  • Microsoft Visual Studio 2022 version 17.6
  • Microsoft Visual Studio 2022 version 17.8
  • Microsoft Word 2016 (32-bit edition)
  • Microsoft Word 2016 (64-bit edition)
  • Python extension for Visual Studio Code
  • Visual Studio Code Remote – SSH Extension
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 10 Version 22H2 for 32-bit Systems
  • Windows 10 Version 22H2 for ARM64-based Systems
  • Windows 10 Version 22H2 for x64-based Systems
  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 11 Version 22H2 for ARM64-based Systems
  • Windows 11 Version 22H2 for x64-based Systems
  • Windows 11 Version 23H2 for ARM64-based Systems
  • Windows 11 Version 23H2 for x64-based Systems
  • Windows 11 Version 24H2 for ARM64-based Systems
  • Windows 11 Version 24H2 for x64-based Systems
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022, 23H2 Edition (Server Core installation)
  • Windows Server 2025
  • Windows Server 2025 (Server Core installation)
  • airlift.microsoft.com

Opis činnosti:

I. Kritické zraniteľnosti:

CVE-2024-43498 (CVSS skóre 9,8)

Kritická zraniteľnosť v frameworku .NET a produkte Visual Studio spočíva v nesprávnom vyhodnocovaní dátových typov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu. Zraniteľnosť možno zneužiť zaslaním špeciálne vytvorenej požiadavky na zraniteľnú webovú aplikáciu vytvorenú v .NET alebo nahraním špeciálne vytvoreného súboru do desktopovej aplikácie Visual Studio.

CVE-2024-43625 (CVSS skóre 8,1)

Kritickú zraniteľnosť v komponente Windows VMSwitch, ktorý je súčasťou hypervízora Hyper-V, možno zneužiť na eskaláciu privilégií na úroveň oprávnení SYSTEM a následné vykonanie škodlivého kódu. Lokálny útočník by predmetnú zraniteľnosť mohol zneužiť zaslaním špeciálne vytvorenej sekvencie sieťových požiadaviek na ovládač VMSwitch, ktoré by umožnili použitie odalokovaného miesta v pamäti na Hyper-V hoste.

CVE-2024-43639 (CVSS skóre 9,8)

CVE-2024-43639 spočíva v chybnom skracovaní čísel pri konverzii dátových typov v kryptografickom protokole použitom v rámci komponentu Windows Kerberos. Vzdialený neautentifikovaný útočník by ju prostredníctvom špeciálne vytvorenej aplikácie mohol zneužiť na vzdialené vykonanie kódu.

CVE-2024-49056 (CVSS skóre 7,3)

Zraniteľnosť online platformy airlift.microsoft.com spočíva v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený autentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégií na platorme. Zraniteľnosť bola automaticky opravená spoločnosťou Microsoft a nevyžaduje dodatočnú aktualizáciu systémov.

II. Aktívne zneužívané zraniteľnosti:

CVE-2024-43451 (CVSS skóre 6,5)

Zraniteľnosť v komponente Windows NT LAN Manager by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeciálne vytvoreného súboru mohol zneužiť na získanie NTLMv2 hashu obete, ktorý možno v rámci spoofing útokov zneužiť na získanie neoprávneného prístupu do systému. Zneužitie zraniteľnosť vyžaduje interakciu zo strany používateľa, ktorý musí na škodlivý súbor kliknúť.

CVE-2024-49039 (CVSS skóre 8,8)

Windows Task Scheduler obsahuje zraniteľnosť spočívajúcu v nesprávnej implementácii mechanizmov autentifikácie, ktorá umožňuje eskaláciu privilégií na úroveň oprávnení Medium Integrity Level a následné vykonanie RPC (Remote Procedure Call) volaní. Lokálny autentifikovaný útočník by ju mohol zneužiť spustením špeciálne vytvorenej aplikácie v rámci AppContainer.

III. Významné vysoko závažné zraniteľnosti:

CVE-2024-49040 (CVSS skóre 7,5)

Vysoko závažná zraniteľnosť v Microsoft Exchange Server spočíva v nesprávnom overovaní poľa P2 FROM e-mailových hlavičiek a vzdialený neautentifikovaný útočník by ju mohol zneužiť na realizáciu e-mailových spoofing útokov. Zraniteľnosť umožňuje zobrazenie ľubovoľnej adresy odosielateľa v používateľskom rozhraní e-mailových klientov. Na uvedenú zraniteľnosť je v súčasnosti dostupný proof-of-concept kód demonštrujúci návod pre jej zneužitie. Bližšie informácie o zraniteľnosti sú dostupné na stránke spoločnosti Microsoft a blogu bezpečnostného výskumníka Slonser, ktorý ju odhalil.

CVE-2024-49019 (CVSS skóre 7,8)

Zraniteľnosť v rámci Active Directory Certificate Services umožňuje lokálnemu autentifikovanému útočníkovi zneužiť zabudované templaty certifikátov (napr. WebServer template) na vytvorenie CSR (Certificate Signing Request) požiadaviek vedúcich k eskalácii privilégií na úroveň doménového administrátora. Zraniteľné sú všetky certifikáty vytvorené použitím templatu verzie 1, na ktorých je pole „Source of subject name“ nastavené na hodnotu „Supplied in the request“ a templaty nie sú zabezpečené podľa návodu pre zabezpečenie PKI od spoločnosti Microsoft. Zraniteľnosť objavili bezpečnostní výskumníci zo spoločnosti TrustedSec, ktorá zverejnila aj kompletnú analýzu.

Možné škody:

  • Vzdialené vykonanie kódu
  • Eskalácia privilégií
  • Neoprávnený prístup k citlivým údajom
  • Zneprístupnenie služby
  • Obídenie bezpečnostného prvku
  • Spoofing

Odporúčania:

Bezodkladné nasadenie augustového balíka opráv na zraniteľné produkty spoločnosti Microsoft. Bližšie informácie nájdete tu.

Zdroje: